Mezi postižené společnosti patří Samsung, LG a MediaTek.
Klíčovým aspektem zabezpečení smartphonu Android je proces podepisování aplikací. Je to v podstatě způsob, jak zaručit, že všechny aktualizace aplikací pocházejí od původního vývojáře, protože klíč používaný k podepisování aplikací by měl být vždy soukromý. Zdá se, že řada těchto certifikátů platforem od společností Samsung, MediaTek, LG a Revoview unikla, a co je ještě horší, byla použita k podepisování malwaru. Toto bylo zveřejněno prostřednictvím iniciativy Android Partner Vulnerability Initiative (APVI) a vztahuje se pouze na aktualizace aplikací, nikoli na OTA.
Při podepisování úniku klíčů by mohl útočník teoreticky podepsat škodlivou aplikaci podpisovým klíčem a distribuovat ji jako „aktualizaci“ aplikace na něčím telefonu. Vše, co by člověk musel udělat, bylo načíst aktualizaci z webu třetí strany, což je pro nadšence docela běžná zkušenost. V takovém případě by uživatel nevědomky poskytl operačnímu systému Android přístup k malwaru, protože tyto škodlivé aplikace mohou využívat sdílené UID systému Android a rozhraní se systémem „android“. proces.
"Certifikát platformy je certifikát pro podepisování aplikace, který se používá k podepsání aplikace "android" na obraz systému. Aplikace „android“ běží s vysoce privilegovaným uživatelským jménem – android.uid.system – a je držitelem systémových oprávnění, včetně oprávnění pro přístup k uživatelským datům. Jakákoli jiná aplikace podepsaná stejným certifikátem může prohlásit, že chce běžet se stejným uživatelem id, což mu dává stejnou úroveň přístupu k operačnímu systému Android,“ vysvětluje reportér na APVI. Tyto certifikáty jsou specifické pro dodavatele v tom smyslu, že certifikát na zařízení Samsung se bude lišit od certifikátu na zařízení LG, i když se používají k podpisu aplikace „android“.
Tyto vzorky malwaru objevil Łukasz Siewierski, reverzní inženýr společnosti Google. Siewierski sdílel SHA256 hash každého ze vzorků malwaru a jejich podpisové certifikáty a my jsme mohli tyto vzorky zobrazit na VirusTotal. Není jasné, kde byly tyto vzorky nalezeny a zda byly dříve distribuovány v Obchodě Google Play, na webech pro sdílení APK, jako je APKMirror, nebo jinde. Níže je uveden seznam názvů balíčků malwaru podepsaných těmito certifikáty platformy. Aktualizace: Google říká, že tento malware nebyl v Obchodě Google Play detekován.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Vyhledávání
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
Ve zprávě se uvádí, že „Všechny dotčené strany byly o zjištěních informovány a přijaly nápravná opatření minimalizovat dopad na uživatele." Nicméně alespoň v případě Samsungu se zdá, že tyto certifikáty jsou stále in použití. Vyhledávání na APKMirror protože jeho uniklý certifikát zobrazuje aktualizace ze dneška, které jsou distribuovány s těmito uniklými podpisovými klíči.
Je znepokojivé, že jeden ze vzorků malwaru, který byl podepsán certifikátem společnosti Samsung, byl poprvé předložen v roce 2016. Není jasné, zda certifikáty Samsungu byly šest let v škodlivých rukou. V tuto chvíli je to ještě méně jasné jak tyto certifikáty byly šířeny ve volné přírodě a pokud již v důsledku toho došlo k nějaké škodě. Lidé neustále načítají aktualizace aplikací a spoléhají na systém podepisování certifikátů, aby zajistili, že tyto aktualizace aplikací jsou legitimní.
Pokud jde o to, co mohou společnosti dělat, nejlepší cestou vpřed je klíčová rotace. Android APK Signing Scheme v3 podporuje rotaci klíčů nativněa vývojáři mohou upgradovat z Signing Scheme v2 na v3.
Navrhovaná akce od reportéra na APVI je, že „Všechny dotčené strany by měly otočit certifikát platformy tak, že jej nahradí novou sadou veřejných a soukromých klíčů. Kromě toho by měli provést interní vyšetřování, aby našli hlavní příčinu problému a podnikli kroky, které zabrání tomu, aby se incident v budoucnu stal.“
„Důrazně také doporučujeme minimalizovat počet aplikací podepsaných certifikátem platformy, jak tomu bude výrazně snížit náklady na rotaci kláves platformy, pokud by v budoucnu došlo k podobnému incidentu,“ uvádí uzavírá.
Když jsme oslovili Samsung, dostali jsme od mluvčího společnosti následující odpověď.
Samsung bere zabezpečení zařízení Galaxy vážně. Od roku 2016 jsme vydali bezpečnostní záplaty poté, co jsme byli o problému informováni, a nebyly známy žádné bezpečnostní incidenty týkající se této potenciální chyby zabezpečení. Vždy doporučujeme, aby uživatelé udržovali svá zařízení v aktuálním stavu pomocí nejnovějších aktualizací softwaru.
Zdá se, že výše uvedená odpověď potvrzuje, že společnost ví o tomto uniklém certifikátu od roku 2016, ačkoli tvrdí, že nebyly známy žádné bezpečnostní incidenty týkající se této chyby zabezpečení. Není však jasné, co dalšího provedla, aby tuto chybu zabezpečení uzavřela, a vzhledem k tomu, že se jedná o malware byl poprvé odeslán do VirusTotal v roce 2016, zdálo by se, že je definitivně ve volné přírodě někde.
Požádali jsme MediaTek a Google o komentář, a jakmile se ozveme, budeme vás informovat.
AKTUALIZACE: 2022/12/02 12:45 EST OD ADAM CONWAY
Google odpovídá
Google nám poskytl následující prohlášení.
OEM partneři okamžitě implementovali zmírňující opatření, jakmile jsme ohlásili klíčový kompromis. Koncoví uživatelé budou chráněni uživatelskými omezeními implementovanými partnery OEM. Google implementoval širokou detekci malwaru v Build Test Suite, který skenuje systémové obrazy. Google Play Protect také detekuje malware. Nic nenasvědčuje tomu, že tento malware je nebo byl v Obchodě Google Play. Jako vždy doporučujeme uživatelům, aby se ujistili, že používají nejnovější verzi systému Android.