Samsung, LG и MediaTek са сред засегнатите компании.
Решаващ аспект от сигурността на смартфона с Android е процесът на подписване на приложението. По същество това е начин да се гарантира, че всички актуализации на приложения идват от първоначалния разработчик, тъй като ключът, използван за подписване на приложения, винаги трябва да се пази поверителен. Редица от тези платформени сертификати от Samsung, MediaTek, LG и Revoview изглежда са изтекли и още по-лошо са използвани за подписване на зловреден софтуер. Това беше разкрито чрез Android Partner Vulnerability Initiative (APVI) и се отнася само за актуализации на приложения, а не за OTA.
При изтичане на ключове за подписване, нападател може на теория да подпише злонамерено приложение с ключ за подписване и да го разпространи като „актуализация“ на приложение на нечий телефон. Всичко, което човек трябва да направи, е да зареди странично актуализация от сайт на трета страна, което за ентусиастите е доста често срещано изживяване. В този случай потребителят несъзнателно би дал на ниво операционна система Android достъп до зловреден софтуер, тъй като тези злонамерени приложения могат да използват споделения UID и интерфейс на Android със системата "android". процес.
„Сертификатът на платформата е сертификатът за подписване на приложение, използван за подписване на приложението „android“ върху системния образ. Приложението "android" работи с високо привилегирован потребителски идентификатор - android.uid.system - и притежава системни разрешения, включително разрешения за достъп до потребителски данни. Всяко друго приложение, подписано със същия сертификат, може да декларира, че иска да работи със същия потребител id, давайки му същото ниво на достъп до операционната система Android“, обяснява репортерът на APVI. Тези сертификати са специфични за доставчика, тъй като сертификатът на устройство Samsung ще бъде различен от сертификата на устройство LG, дори ако се използват за подписване на приложението "android".
Тези проби от злонамерен софтуер бяха открити от Лукаш Сивиерски, обратен инженер в Google. Siewierski сподели SHA256 хешове на всяка от пробите на зловреден софтуер и техните сертификати за подписване и успяхме да видим тези проби във VirusTotal. Не е ясно къде са намерени тези проби и дали преди това са били разпространявани в Google Play Store, сайтове за споделяне на APK като APKMirror или другаде. Списъкът с имена на пакети на зловреден софтуер, подписан с тези сертификати на платформата, е по-долу. Актуализация: Google казва, че този зловреден софтуер не е открит в Google Play Store.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Търсене
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
В доклада се посочва, че „всички засегнати страни са били информирани за констатациите и са предприели мерки за отстраняване за да минимизирате въздействието върху потребителите." Въпреки това, поне в случая на Samsung, изглежда, че тези сертификати все още са в сила използване. Търсене в APKMirror защото неговият изтекъл сертификат показва актуализации от днес, които се разпространяват с тези изтекли ключове за подписване.
Притеснително е, че една от пробите на злонамерен софтуер, подписана със сертификата на Samsung, беше представена за първи път през 2016 г. Не е ясно дали сертификатите на Samsung следователно са били в злонамерени ръце в продължение на шест години. Още по-малко ясно в този момент е как тези сертификати са били разпространени в природата и ако вече е имало щети, нанесени в резултат на това. Хората изтеглят странично актуализации на приложения през цялото време и разчитат на системата за подписване на сертификати, за да гарантират, че тези актуализации на приложения са легитимни.
Що се отнася до това, което компаниите могат да направят, най-добрият път напред е ротация на ключове. Схемата за подписване на APK на Android v3 поддържа ротация на ключове изначално, а разработчиците могат да надстроят от схема за подписване v2 до v3.
Предложеното действие, дадено от репортера на APVI, е, че „всички засегнати страни трябва да сменят сертификата на платформата, като го заменят с нов набор от публични и частни ключове. Освен това те трябва да проведат вътрешно разследване, за да намерят първопричината за проблема и да предприемат стъпки, за да предотвратят инцидента в бъдеще."
„Също така силно препоръчваме минимизиране на броя на приложенията, подписани със сертификата на платформата, както ще стане значително понижи цената на ротационните ключове на платформата, ако подобен инцидент възникне в бъдеще“, то заключава.
Когато се свързахме със Samsung, получихме следния отговор от говорител на компанията.
Samsung приема сериозно сигурността на устройствата Galaxy. Издадохме корекции за сигурност от 2016 г., след като бяхме уведомени за проблема, и не са известни инциденти със сигурността по отношение на тази потенциална уязвимост. Винаги препоръчваме на потребителите да поддържат устройствата си актуални с най-новите софтуерни актуализации.
Горният отговор изглежда потвърждава, че компанията знае за този изтекъл сертификат от 2016 г., въпреки че твърди, че не е имало известни инциденти със сигурността по отношение на уязвимостта. Не е ясно обаче какво друго е направил, за да затвори тази уязвимост и като се има предвид, че зловредният софтуер беше представен за първи път на VirusTotal през 2016 г., изглежда, че определено е в дивата природа някъде.
Свързахме се с MediaTek и Google за коментар и ще ви информираме, когато получим отговор.
АКТУАЛИЗАЦИЯ: 2022/12/02 12:45 EST ОТ АДАМ КОНУЕЙ
Google отговаря
Google ни даде следното изявление.
Партньорите на OEM незабавно въведоха смекчаващи мерки веднага щом съобщихме за ключовия компромис. Крайните потребители ще бъдат защитени чрез смекчаване на потребителите, внедрено от OEM партньори. Google внедри широки откривания за зловреден софтуер в Build Test Suite, който сканира системни изображения. Google Play Protect също открива злонамерения софтуер. Няма индикации, че този зловреден софтуер е или е бил в Google Play Store. Както винаги, съветваме потребителите да се уверят, че използват най-новата версия на Android.