sexta-feira, 26 de julho de 2013

Veja como corrigir a vulnerabilidade Master Key do Android

Certamente já ouviram falar da vulnerabilidade Android Master Key descoberta pela startup especializada em segurança móvel, Bluebox. Esta vulnerabilidade, devido a uma falha entre a verificação da assinatura e a instalação da aplicação, permite a um meliante inserir código malicioso em aplicações que temos instaladas no equipamento.
A vulnerabilidade é conhecida há alguns meses, mas foi há cerca de duas semanas que a Google disponibilizou um patch a corrigir.
Este patch não será disponibilizado sem uma nova actualização, o que irá deixar a maior parte dos equipamentos Android, principalmente os que já não têm suporte, vulneráveis.
masterkey_banner

A maioria dos equipamentos de baixa e média gama que sejam Single e Dual Core, vão ficar de fora da recepção da actualização a corrigir a vulnerabilidade.
Para quem depende de custom roms, a equipa da CyanogenMod já incluiu o patch, portanto já não se tem de preocupar com este assunto. Para quem usa a stock rom, à excepção do Nexus 4 e do Galaxy Nexus que já receberam o Android 4.3 com a correcção, vai ficar agora a conhecer como pode corrigir o problema enquanto não for lançada uma solução oficial por parte dos fabricantes.
Para além da vulnerabilidade Master Key (Bug 8219321), também foi descoberta outra, marcada como Bug 9695860, que funciona de forma semelhante à outra, também foi corrigida no patch que a Google disponibilizou aos OEMs. Tanto uma como a outra são muito graves principalmente para quem usa bastante internet e / ou por quem recorre a aplicações fora da Play Store.
Depois da Google ter disponibilizado o patch, começaram a aparecer algumas aplicações para desenrascar os utilizadores com equipamentos que ainda não receberam uma actualização oficial ou para aqueles que já não têm suporte.
Uma das aplicações mais conhecidas é a ReKey desenvolvida pela conhecida Duo Security em parceria com a NEU, a outra é conhecida como MasterKeyDualFix desenvolvida por um programador português conhecido comoTungstwenty@XDA.
A ReKey, apesar de usar o patch disponibilizado pela Google, só consegue corrigir uma das duas vulnerabilidades, para além desta falha, tem alguns outros problemas, dois desses problemas é que provoca softbricks e mensagens de erros em alguns equipamentos.
A aplicação que vou falar neste artigo é a MasterKeyDualFix, é uma aplicação muito poderosa e mexe em ficheiros internos do Android.
Requisitos obrigatórios e downloads:
Procedimentos:
Se não tiver root, terá de procurar no XDA-Developers ou no MoDaCo uma forma de o fazer, para quem já tiver, pode continuar a ler.
Fazer download do Xposed Framework (XposedInstaller_X.X.X.apk) e instalar. O Xposed Framework permite alterar partes do sistema sem ser necessário flashar ou descompilar o quer que seja, mais informações aqui, daí que necessitamos deste framework ou do API para usar o patch sem ser necessário flashar. Flashar o patch poderia causar alguns problemas.
Depois de instalado, precisam de instalar o framework, para isso basta que cliquem em Install/Update e depois clicar em Soft Reboot (só quando for pedido).
maskerkey_1_thumb
Uma vez o Xposed Framework a funcionar correctamente, instalam agora o MasterKeyDualFix posteriormente descarregado, podem tanto instalar pelo Play Store ou directamente pelo APK aqui.
Uma vez instalado, para que a aplicação funcione, precisam de a activar no Xposed, então basta clicar em Modules no Xposed e clicar no quadradinho ao lado do Master Key Dual Fix e reiniciem (mesmo reiniciar não soft reboot).
maskerkey_2_thumb
Como podem constatar é bastante simples, duas aplicações e alguns cliques e ficam com o problema resolvido.
Quando o equipamento acabar de reiniciar, podem abrir a aplicação do patch e verificar no fundo a verde a seguinte mensagem: “The patch is active. You should be protected from these 2 vulnerabilities”. Se aparecer esta mensagem é porque fizeram tudo correctamente e têm o patch a funcionar, se não aparecer, repitam novamente os passos.
maskerkey_3_thumb
Mas para terem a certeza de que as duas vulnerabilidades ficaram resolvidas, usem uma das seguintes aplicações, SRT AppScanner ou a BlueBox Security Scanner.
maskerkey_4_thumb  maskerkey_5_thumb
Como disse em cima, nenhum dos fabricantes irá lançar o fix para corrigir, invés disso, lançarão uma nova actualização já com o problema resolvido, os equipamentos que já não receberão mais actualizações, vão ter de optar por este método. No caso do Nexus 4, Galaxy Nexus e Nexus 7, já têm este problema resolvido com a actualização do Android 4.3.
Para quem usa custom roms da CyanogenMod, AOKP ou baseadas, as builds lançadas após a Google ter lançado o patch já têm também o problema solucionado.