Zu den betroffenen Unternehmen gehören Samsung, LG und MediaTek.
Ein entscheidender Aspekt der Sicherheit von Android-Smartphones ist der Signierungsprozess der Anwendung. Dies stellt im Wesentlichen eine Möglichkeit dar, sicherzustellen, dass alle App-Updates vom ursprünglichen Entwickler stammen, da der zum Signieren von Anwendungen verwendete Schlüssel immer geheim gehalten werden sollte. Eine Reihe dieser Plattformzertifikate von Unternehmen wie Samsung, MediaTek, LG und Revoview scheinen durchgesickert zu sein und, schlimmer noch, zum Signieren von Malware verwendet worden zu sein. Dies wurde durch die Android Partner Vulnerability Initiative (APVI) offengelegt und gilt nur für App-Updates, nicht für OTAs.
Wenn Signaturschlüssel offengelegt werden, könnte ein Angreifer theoretisch eine bösartige App mit einem Signaturschlüssel signieren und sie als „Update“ für eine App auf dem Telefon einer anderen Person verteilen. Alles, was eine Person tun müsste, wäre, ein Update von einer Website eines Drittanbieters herunterzuladen, was für Enthusiasten eine ziemlich häufige Erfahrung ist. In diesem Fall würde der Benutzer unwissentlich dem Android-Betriebssystem Zugriff auf Malware gewähren. da diese bösartigen Apps die gemeinsame UID von Android nutzen und mit dem „Android“-System kommunizieren können Verfahren.
„Ein Plattformzertifikat ist das Anwendungssignaturzertifikat, das zum Signieren der „Android“-Anwendung auf dem Systemabbild verwendet wird. Die „Android“-Anwendung läuft mit einer hochprivilegierten Benutzer-ID – android.uid.system – und verfügt über Systemberechtigungen, einschließlich Berechtigungen für den Zugriff auf Benutzerdaten. Jede andere mit demselben Zertifikat signierte Anwendung kann erklären, dass sie mit demselben Benutzer ausgeführt werden möchte id, was ihm das gleiche Maß an Zugriff auf das Android-Betriebssystem gibt“, erklärt der Reporter von APVI. Diese Zertifikate sind herstellerspezifisch, da sich das Zertifikat auf einem Samsung-Gerät vom Zertifikat auf einem LG-Gerät unterscheidet, selbst wenn sie zum Signieren der „Android“-Anwendung verwendet werden.
Diese Malware-Beispiele wurden von Łukasz Siewierski, einem Reverse Engineer bei Google, entdeckt. Siewierski teilte SHA256-Hashes aller Malware-Beispiele und ihrer Signaturzertifikate mit, und wir konnten diese Beispiele auf VirusTotal ansehen. Es ist nicht klar, wo diese Beispiele gefunden wurden und ob sie zuvor im Google Play Store, auf APK-Sharing-Sites wie APKMirror oder anderswo verbreitet wurden. Die Liste der Paketnamen von Malware, die mit diesen Plattformzertifikaten signiert wurden, finden Sie unten. Update: Google gibt an, dass diese Malware im Google Play Store nicht erkannt wurde.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Suchen
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
In dem Bericht heißt es: „Alle betroffenen Parteien wurden über die Erkenntnisse informiert und haben Abhilfemaßnahmen ergriffen.“ um die Auswirkungen auf die Benutzer zu minimieren.“ Zumindest im Fall von Samsung scheinen diese Zertifikate jedoch noch vorhanden zu sein verwenden. Suche auf APKMirror denn das durchgesickerte Zertifikat zeigt, dass Updates von heute mit diesen durchgesickerten Signaturschlüsseln verteilt werden.
Besorgniserregend ist, dass eines der Malware-Beispiele, das mit dem Samsung-Zertifikat signiert wurde, erstmals im Jahr 2016 eingereicht wurde. Es ist unklar, ob die Zertifikate von Samsung somit seit sechs Jahren in böswilligen Händen waren. Noch weniger klar ist es zu diesem Zeitpunkt Wie ob diese Zertifikate in Umlauf gebracht wurden und ob dadurch bereits ein Schaden entstanden ist. Die Leute laden ständig App-Updates von der Seite und verlassen sich auf das Zertifikatsignierungssystem, um sicherzustellen, dass diese App-Updates legitim sind.
Was Unternehmen tun können: Der beste Weg nach vorn ist eine Schlüsselrotation. Das APK Signing Scheme v3 von Android unterstützt die Schlüsselrotation nativund Entwickler können ein Upgrade von Signing Scheme v2 auf v3 durchführen.
Die vom APVI-Reporter vorgeschlagene Maßnahme lautet: „Alle betroffenen Parteien sollten das Plattformzertifikat rotieren, indem sie es durch einen neuen Satz öffentlicher und privater Schlüssel ersetzen.“ Darüber hinaus sollten sie eine interne Untersuchung durchführen, um die Grundursache des Problems zu ermitteln und Maßnahmen zu ergreifen, um zu verhindern, dass der Vorfall in Zukunft auftritt.“
„Wir empfehlen außerdem dringend, die Anzahl der mit dem Plattformzertifikat signierten Anwendungen zu minimieren, da dies der Fall sein wird.“ „Wir werden die Kosten für rotierende Plattformschlüssel erheblich senken, sollte sich in Zukunft ein ähnlicher Vorfall ereignen“, heißt es schließt.
Als wir uns an Samsung wandten, erhielten wir von einem Unternehmenssprecher die folgende Antwort.
Samsung nimmt die Sicherheit von Galaxy-Geräten ernst. Wir haben seit 2016 Sicherheitspatches veröffentlicht, nachdem wir auf das Problem aufmerksam gemacht wurden, und es sind keine Sicherheitsvorfälle im Zusammenhang mit dieser potenziellen Schwachstelle bekannt. Wir empfehlen Benutzern stets, ihre Geräte mit den neuesten Software-Updates auf dem neuesten Stand zu halten.
Die obige Antwort scheint zu bestätigen, dass das Unternehmen seit 2016 von diesem geleakten Zertifikat wusste, obwohl es behauptet, dass es keine bekannten Sicherheitsvorfälle im Zusammenhang mit der Schwachstelle gegeben habe. Es ist jedoch nicht klar, was es sonst noch getan hat, um diese Sicherheitslücke zu schließen, und angesichts der Tatsache, dass es sich um Malware handelt erstmals 2016 bei VirusTotal eingereicht wurde, scheint es, dass es definitiv in freier Wildbahn ist irgendwo.
Wir haben MediaTek und Google um einen Kommentar gebeten und werden Sie informieren, sobald wir etwas hören.
UPDATE: 02.12.2022 12:45 EST VON ADAM CONWAY
Google antwortet
Google hat uns folgende Aussage gemacht.
OEM-Partner führten umgehend Abhilfemaßnahmen durch, sobald wir die entscheidende Kompromittierung meldeten. Endbenutzer werden durch Benutzerminderungsmaßnahmen geschützt, die von OEM-Partnern implementiert werden. Google hat umfassende Erkennungsfunktionen für die Malware in der Build Test Suite implementiert, die System-Images scannt. Auch Google Play Protect erkennt die Schadsoftware. Es gibt keinen Hinweis darauf, dass sich diese Malware im Google Play Store befindet oder befand. Wie immer empfehlen wir Benutzern, sicherzustellen, dass sie die neueste Android-Version verwenden.