يعني تسريب مفتاح Android OEM أن "التحديثات" التي يتم تحميلها بشكل جانبي قد تخفي برامج ضارة خطيرة

التليفون المحمولJul 20, 2023
click fraud protection

Samsung و LG و MediaTek من بين الشركات المتضررة.

من الجوانب الحاسمة لأمان الهواتف الذكية التي تعمل بنظام Android عملية توقيع التطبيق. إنها في الأساس طريقة لضمان أن أي تحديثات للتطبيق تأتي من المطور الأصلي ، حيث يجب أن يظل المفتاح المستخدم لتوقيع التطبيقات دائمًا خاصًا. يبدو أن عددًا من شهادات النظام الأساسي هذه من أمثال Samsung و MediaTek و LG و Revoview قد تم تسريبها ، والأسوأ من ذلك ، تم استخدامها للتوقيع على البرامج الضارة. تم الكشف عن هذا من خلال مبادرة الثغرات الأمنية لشريك Android (APVI) وينطبق فقط على تحديثات التطبيق ، وليس OTAs.

عند تسريب مفاتيح التوقيع ، يمكن للمهاجم ، نظريًا ، توقيع تطبيق ضار بمفتاح توقيع وتوزيعه كـ "تحديث" لتطبيق على هاتف شخص ما. كل ما يحتاجه الشخص هو التحميل الجانبي لتحديث من موقع تابع لجهة خارجية ، والذي يعد تجربة شائعة إلى حد ما بالنسبة للمتحمسين. في هذه الحالة ، سيعطي المستخدم دون علمه إمكانية الوصول إلى البرامج الضارة على مستوى نظام التشغيل Android ، حيث يمكن لهذه التطبيقات الضارة الاستفادة من UID المشترك لنظام Android والواجهة مع نظام "android" عملية.

"شهادة النظام الأساسي هي شهادة توقيع التطبيق المستخدمة لتوقيع تطبيق" android "على صورة النظام. يعمل تطبيق "android" باستخدام معرف مستخدم ذي امتيازات عالية - android.uid.system - ويحمل أذونات النظام ، بما في ذلك أذونات الوصول إلى بيانات المستخدم. يمكن لأي تطبيق آخر موقع بنفس الشهادة الإعلان عن رغبته في العمل مع نفس المستخدم id ، مما يمنحه نفس مستوى الوصول إلى نظام التشغيل Android ، "يشرح المراسل في APVI. هذه الشهادات خاصة بالمورد ، حيث ستكون الشهادة على جهاز Samsung مختلفة عن الشهادة على جهاز LG ، حتى لو تم استخدامها للتوقيع على تطبيق "android".

تم اكتشاف عينات البرامج الضارة هذه بواسطة Łukasz Siewierski ، وهو مهندس عكسي في Google. شارك Siewierski تجزئات SHA256 لكل من عينات البرامج الضارة وشهادات التوقيع الخاصة بهم ، وتمكنا من عرض هذه العينات على VirusTotal. ليس من الواضح مكان العثور على هذه العينات ، وما إذا كانت قد تم توزيعها مسبقًا على متجر Google Play أو مواقع مشاركة APK مثل APKMirror أو في أي مكان آخر. فيما يلي قائمة بأسماء حزم البرامج الضارة الموقعة بشهادات النظام الأساسي هذه. تحديث: تقول Google أنه لم يتم اكتشاف هذا البرنامج الضار في متجر Google Play.

  • com.vantage.ectronic.cornmuni
  • com.russian.signato.renewis
  • com.sledsdffsjkh. يبحث
  • com.android.power
  • com.management.propaganda
  • com.sec.android.musicplayer
  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage

وجاء في التقرير أن "جميع الأطراف المتضررة أُبلغت بالنتائج واتخذت تدابير علاجية لتقليل تأثير المستخدم ". ومع ذلك ، على الأقل في حالة Samsung ، يبدو أن هذه الشهادات لا تزال موجودة يستخدم. البحث على APKMirror لشهادتها المُسربة تُظهر التحديثات من اليوم يتم توزيعها مع مفاتيح التوقيع المسربة هذه.

من المثير للقلق أن إحدى عينات البرامج الضارة التي تم توقيعها بشهادة Samsung تم تقديمها لأول مرة في عام 2016. ليس من الواضح ما إذا كانت شهادات Samsung بالتالي في أيدٍ ضارة لمدة ست سنوات. حتى أقل وضوحا في هذا الوقت هو كيف تم تداول هذه الشهادات في البرية وإذا كان هناك بالفعل أي ضرر نتيجة لذلك. يقوم الأشخاص بتحديث تطبيق التحميل الجانبي طوال الوقت ويعتمدون على نظام توقيع الشهادة للتأكد من شرعية تحديثات التطبيق هذه.

بالنسبة لما يمكن أن تفعله الشركات ، فإن أفضل طريقة للمضي قدماً هي التناوب الرئيسي. يدعم نظام توقيع APK v3 الخاص بنظام Android تدوير المفتاح أصلاً، ويمكن للمطورين الترقية من الإصدار 2 من نظام التوقيع إلى الإصدار 3.

الإجراء المقترح الذي قدمه المراسل بشأن APVI هو أن "يجب على جميع الأطراف المتأثرة تدوير شهادة النظام الأساسي عن طريق استبدالها بمجموعة جديدة من المفاتيح العامة والخاصة. بالإضافة إلى ذلك ، ينبغي عليهم إجراء تحقيق داخلي لمعرفة السبب الجذري للمشكلة واتخاذ خطوات لمنع وقوع الحادث في المستقبل ".

"نوصي بشدة أيضًا بتقليل عدد التطبيقات الموقعة بشهادة النظام الأساسي ، كما هو الحال تقلل بشكل كبير من تكلفة تدوير مفاتيح المنصة في حالة وقوع حادث مماثل في المستقبل " يستنتج.

عندما تواصلنا مع Samsung ، تلقينا الرد التالي من المتحدث باسم الشركة.

تأخذ Samsung أمان أجهزة Galaxy على محمل الجد. لقد أصدرنا تصحيحات أمنية منذ عام 2016 بعد أن علمنا بالمشكلة ، ولم تكن هناك حوادث أمنية معروفة بخصوص هذه الثغرة الأمنية المحتملة. نوصي دائمًا بأن يحافظ المستخدمون على تحديث أجهزتهم بآخر تحديثات البرامج.

يبدو أن الرد أعلاه يؤكد أن الشركة على علم بهذه الشهادة المسربة منذ عام 2016 ، على الرغم من أنها تدعي عدم وجود حوادث أمنية معروفة فيما يتعلق بالثغرة الأمنية. ومع ذلك ، ليس من الواضح ما الذي فعلته لسد هذه الثغرة الأمنية ، وبالنظر إلى البرمجيات الخبيثة تم تقديمه لأول مرة إلى VirusTotal في عام 2016 ، ويبدو أنه بالتأكيد خارج البرية مكان ما.

لقد تواصلنا مع MediaTek و Google للتعليق وسنقوم بتحديثك عندما نتلقى ردًا.

التحديث: 2022/12/02 12:45 EST بقلم آدم كونواي

جوجل يستجيب

أعطتنا Google البيان التالي.

قام شركاء OEM على الفور بتنفيذ تدابير التخفيف بمجرد الإبلاغ عن الاختراق الرئيسي. ستتم حماية المستخدمين النهائيين من خلال إجراءات التخفيف التي يقوم بها المستخدم والتي ينفذها شركاء OEM. نفذت Google عمليات اكتشاف واسعة النطاق للبرامج الضارة في Build Test Suite ، والتي تقوم بمسح صور النظام. يكتشف Google Play Protect أيضًا البرامج الضارة. لا يوجد ما يشير إلى أن هذه البرامج الضارة موجودة أو كانت موجودة في متجر Google Play. كما هو الحال دائمًا ، ننصح المستخدمين بالتأكد من تشغيلهم لأحدث إصدار من Android.