Samsung, LG og MediaTek er blandt de berørte virksomheder.
Et afgørende aspekt af Android-smartphonesikkerhed er applikationssigneringsprocessen. Det er i bund og grund en måde at garantere, at eventuelle appopdateringer kommer fra den oprindelige udvikler, da nøglen, der bruges til at signere applikationer, altid skal holdes privat. En række af disse platformscertifikater fra f.eks. Samsung, MediaTek, LG og Revoview ser ud til at være lækket, og endnu værre, blevet brugt til at signere malware. Dette blev afsløret gennem Android Partner Vulnerability Initiative (APVI) og gælder kun for appopdateringer, ikke OTA'er.
Når signering af nøgler læk, kan en angriber i teorien signere en ondsindet app med en signeringsnøgle og distribuere den som en "opdatering" til en app på en andens telefon. Det eneste, en person skulle gøre, var at sideloade en opdatering fra et tredjepartswebsted, hvilket for entusiaster er en ret almindelig oplevelse. I det tilfælde ville brugeren ubevidst give Android-operativsystem-niveau adgang til malware, da disse ondsindede apps kan gøre brug af Androids delte UID og interface til "android"-systemet behandle.
"Et platformscertifikat er det applikationssigneringscertifikat, der bruges til at signere "android"-applikationen på systembilledet. "Android"-applikationen kører med et meget privilegeret bruger-id - android.uid.system - og har systemtilladelser, herunder tilladelser til at få adgang til brugerdata. Enhver anden applikation, der er signeret med det samme certifikat, kan erklære, at den ønsker at køre med den samme bruger id, hvilket giver det samme niveau af adgang til Android-operativsystemet," forklarer reporteren på APVI. Disse certifikater er leverandørspecifikke, idet certifikatet på en Samsung-enhed vil være forskelligt fra certifikatet på en LG-enhed, selvom de bruges til at signere "android"-applikationen.
Disse malwareprøver blev opdaget af Łukasz Siewierski, en omvendt ingeniør hos Google. Siewierski delte SHA256-hash af hver af malware-eksemplerne og deres signeringscertifikater, og vi var i stand til at se disse eksempler på VirusTotal. Det er ikke klart, hvor disse prøver blev fundet, og om de tidligere blev distribueret i Google Play Butik, APK-delingswebsteder som APKMirror eller andre steder. Listen over pakkenavne på malware, der er signeret med disse platformscertifikater, er nedenfor. Opdatering: Google siger, at denne malware ikke blev opdaget i Google Play Butik.
- com.vantage.elektronisk.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Søg
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
I rapporten hedder det, at "Alle berørte parter blev informeret om resultaterne og har truffet afhjælpende foranstaltninger for at minimere brugerpåvirkningen." Men i det mindste for Samsungs tilfælde ser det ud til, at disse certifikater stadig er i brug. Søger på APKMirror for dets lækkede certifikat viser opdateringer fra selv i dag, der distribueres med disse lækkede signeringsnøgler.
Bekymrende nok blev en af malwareprøverne, der blev underskrevet med Samsungs certifikat, først indsendt i 2016. Det er uklart, om Samsungs certifikater derfor har været i ondsindede hænder i seks år. Endnu mindre klar på dette tidspunkt er hvordan disse certifikater er blevet cirkuleret i naturen, og hvis der allerede er sket skader som følge heraf. Folk sidelæser appopdateringer hele tiden og stoler på certifikatsigneringssystemet for at sikre, at disse appopdateringer er legitime.
Med hensyn til, hvad virksomheder kan gøre, er den bedste vej frem en nøglerotation. Androids APK Signing Scheme v3 understøtter indbygget nøglerotation, og udviklere kan opgradere fra Signing Scheme v2 til v3.
Den foreslåede handling givet af reporteren på APVI er, at "Alle berørte parter bør rotere platformcertifikatet ved at erstatte det med et nyt sæt offentlige og private nøgler. Derudover bør de foretage en intern undersøgelse for at finde årsagen til problemet og tage skridt til at forhindre hændelsen i at ske i fremtiden."
"Vi anbefaler også kraftigt at minimere antallet af ansøgninger, der er signeret med platformcertifikatet, som det vil sænke omkostningerne ved at rotere platformsnøgler markant, hvis en lignende hændelse skulle opstå i fremtiden." afslutter.
Da vi nåede ud til Samsung, fik vi følgende svar fra en talsmand for virksomheden.
Samsung tager sikkerheden ved Galaxy-enheder alvorligt. Vi har udstedt sikkerhedsrettelser siden 2016 efter at være blevet gjort opmærksom på problemet, og der har ikke været kendte sikkerhedshændelser vedrørende denne potentielle sårbarhed. Vi anbefaler altid, at brugerne holder deres enheder opdateret med de seneste softwareopdateringer.
Ovenstående svar ser ud til at bekræfte, at virksomheden har kendt til dette lækkede certifikat siden 2016, selvom det hævder, at der ikke har været nogen kendte sikkerhedshændelser vedrørende sårbarheden. Det er dog ikke klart, hvad den ellers har gjort for at lukke denne sårbarhed, og i betragtning af at malwaren første gang blev indsendt til VirusTotal i 2016, ser det ud til, at det helt sikkert er ude i naturen et eller andet sted.
Vi har kontaktet MediaTek og Google for kommentarer og vil opdatere dig, når vi hører tilbage.
OPDATERING: 2022/12/02 12:45 EST AF ADAM CONWAY
Google svarer
Google har givet os følgende erklæring.
OEM-partnere implementerede prompte afbødende foranstaltninger, så snart vi rapporterede det vigtigste kompromis. Slutbrugere vil blive beskyttet af brugerbegrænsninger implementeret af OEM-partnere. Google har implementeret brede detektioner for malwaren i Build Test Suite, som scanner systembilleder. Google Play Protect registrerer også malwaren. Der er ingen indikation af, at denne malware er eller var i Google Play Butik. Som altid råder vi brugerne til at sikre, at de kører den nyeste version af Android.