Η Samsung, η LG και η MediaTek είναι μεταξύ των εταιρειών που επηρεάζονται.
Μια κρίσιμη πτυχή της ασφάλειας smartphone Android είναι η διαδικασία υπογραφής εφαρμογής. Είναι ουσιαστικά ένας τρόπος να διασφαλιστεί ότι τυχόν ενημερώσεις εφαρμογών προέρχονται από τον αρχικό προγραμματιστή, καθώς το κλειδί που χρησιμοποιείται για την υπογραφή εφαρμογών θα πρέπει πάντα να διατηρείται ιδιωτικό. Ορισμένα από αυτά τα πιστοποιητικά πλατφόρμας όπως η Samsung, η MediaTek, η LG και η Revoview φαίνεται να έχουν διαρρεύσει και ακόμη χειρότερα έχουν χρησιμοποιηθεί για την υπογραφή κακόβουλου λογισμικού. Αυτό αποκαλύφθηκε μέσω του Android Partner Vulnerability Initiative (APVI) και ισχύει μόνο για ενημερώσεις εφαρμογών, όχι για OTA.
Όταν διαρρέουν τα κλειδιά υπογραφής, ένας εισβολέας θα μπορούσε, θεωρητικά, να υπογράψει μια κακόβουλη εφαρμογή με ένα κλειδί υπογραφής και να τη διανείμει ως "ενημέρωση" σε μια εφαρμογή στο τηλέφωνο κάποιου. Το μόνο που θα έπρεπε να κάνει κάποιος ήταν να φορτώσει μια ενημέρωση από έναν ιστότοπο τρίτου μέρους, κάτι που για τους λάτρεις είναι μια αρκετά συνηθισμένη εμπειρία. Σε αυτήν την περίπτωση, ο χρήστης θα έδινε εν αγνοία του το λειτουργικό σύστημα Android σε επίπεδο πρόσβασης σε κακόβουλο λογισμικό, καθώς αυτές οι κακόβουλες εφαρμογές μπορούν να κάνουν χρήση του κοινόχρηστου UID και της διεπαφής του Android με το σύστημα "android". επεξεργάζομαι, διαδικασία.
"Ένα πιστοποιητικό πλατφόρμας είναι το πιστοποιητικό υπογραφής εφαρμογής που χρησιμοποιείται για την υπογραφή της εφαρμογής "android" στην εικόνα του συστήματος. Η εφαρμογή "android" εκτελείται με ένα εξαιρετικά προνομιακό αναγνωριστικό χρήστη - android.uid.system - και κατέχει δικαιώματα συστήματος, συμπεριλαμβανομένων αδειών πρόσβασης στα δεδομένα χρήστη. Οποιαδήποτε άλλη εφαρμογή υπογεγραμμένη με το ίδιο πιστοποιητικό μπορεί να δηλώσει ότι θέλει να εκτελεστεί με τον ίδιο χρήστη id, δίνοντάς του το ίδιο επίπεδο πρόσβασης στο λειτουργικό σύστημα Android», εξηγεί ο δημοσιογράφος στο APVI. Αυτά τα πιστοποιητικά είναι ειδικά για τον προμηθευτή, καθώς το πιστοποιητικό σε μια συσκευή Samsung θα είναι διαφορετικό από το πιστοποιητικό μιας συσκευής LG, ακόμα κι αν χρησιμοποιούνται για την υπογραφή της εφαρμογής "android".
Αυτά τα δείγματα κακόβουλου λογισμικού ανακαλύφθηκαν από τον Łukasz Siewierski, έναν αντίστροφο μηχανικό της Google. Ο Siewierski μοιράστηκε κατακερματισμούς SHA256 για καθένα από τα δείγματα κακόβουλου λογισμικού και τα πιστοποιητικά υπογραφής τους και μπορέσαμε να προβάλουμε αυτά τα δείγματα στο VirusTotal. Δεν είναι σαφές πού βρέθηκαν αυτά τα δείγματα και αν είχαν προηγουμένως διανεμηθεί στο Google Play Store, σε ιστότοπους κοινής χρήσης APK όπως το APKMirror ή αλλού. Η λίστα με τα ονόματα πακέτων κακόβουλου λογισμικού που έχουν υπογραφεί με αυτά τα πιστοποιητικά πλατφόρμας είναι παρακάτω. Ενημέρωση: Η Google λέει ότι αυτό το κακόβουλο λογισμικό δεν εντοπίστηκε στο Google Play Store.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Αναζήτηση
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
Στην έκθεση, αναφέρει ότι «όλα τα πληττόμενα μέρη ενημερώθηκαν για τα ευρήματα και έχουν λάβει μέτρα αποκατάστασης για να ελαχιστοποιηθεί ο αντίκτυπος του χρήστη." Ωστόσο, τουλάχιστον στην περίπτωση της Samsung, φαίνεται ότι αυτά τα πιστοποιητικά εξακολουθούν να υπάρχουν χρήση. Αναζήτηση στο APKMirror για το πιστοποιητικό του που διέρρευσε εμφανίζει ενημερώσεις ακόμη και σήμερα που διανέμονται με αυτά τα κλειδιά υπογραφής που διέρρευσαν.
Ανησυχητικά, ένα από τα δείγματα κακόβουλου λογισμικού που υπογράφηκε με το πιστοποιητικό της Samsung υποβλήθηκε για πρώτη φορά το 2016. Δεν είναι σαφές εάν τα πιστοποιητικά της Samsung βρίσκονται σε κακόβουλα χέρια για έξι χρόνια. Ακόμη λιγότερο ξεκάθαρο σε αυτή τη χρονική στιγμή πως αυτά τα πιστοποιητικά έχουν κυκλοφορήσει στη φύση και εάν έχει ήδη προκληθεί κάποια ζημιά ως αποτέλεσμα. Οι χρήστες φορτώνουν συνεχώς ενημερώσεις εφαρμογών και βασίζονται στο σύστημα υπογραφής πιστοποιητικών για να διασφαλίσουν ότι αυτές οι ενημερώσεις εφαρμογών είναι νόμιμες.
Όσο για το τι μπορούν να κάνουν οι εταιρείες, ο καλύτερος τρόπος για να προχωρήσουμε είναι μια εναλλαγή κλειδιών. Το APK Signing Scheme v3 του Android υποστηρίζει την εναλλαγή κλειδιών εγγενώς, και οι προγραμματιστές μπορούν να κάνουν αναβάθμιση από το Signing Scheme v2 σε v3.
Η προτεινόμενη ενέργεια που δόθηκε από τον δημοσιογράφο για το APVI είναι ότι «Όλα τα επηρεαζόμενα μέρη θα πρέπει να εναλλάξουν το πιστοποιητικό πλατφόρμας αντικαθιστώντας το με ένα νέο σύνολο δημόσιων και ιδιωτικών κλειδιών. Επιπλέον, θα πρέπει να διεξαγάγουν εσωτερική έρευνα για να βρουν τη βασική αιτία του προβλήματος και να λάβουν μέτρα για να αποτρέψουν το περιστατικό να συμβεί στο μέλλον».
«Συνιστούμε επίσης ανεπιφύλακτα την ελαχιστοποίηση του αριθμού των υπογεγραμμένων αιτήσεων με το πιστοποιητικό πλατφόρμας, όπως θα γίνει μειώνει σημαντικά το κόστος των περιστρεφόμενων κλειδιών της πλατφόρμας σε περίπτωση που συμβεί παρόμοιο περιστατικό στο μέλλον», αναφέρει καταλήγει.
Όταν επικοινωνήσαμε με τη Samsung, μας δόθηκε η ακόλουθη απάντηση από έναν εκπρόσωπο της εταιρείας.
Η Samsung παίρνει στα σοβαρά την ασφάλεια των συσκευών Galaxy. Έχουμε εκδώσει ενημερώσεις κώδικα ασφαλείας από το 2016 μόλις ενημερωθήκαμε για το ζήτημα και δεν υπήρξαν γνωστά περιστατικά ασφαλείας σχετικά με αυτήν την πιθανή ευπάθεια. Συνιστούμε πάντα στους χρήστες να διατηρούν τις συσκευές τους ενημερωμένες με τις πιο πρόσφατες ενημερώσεις λογισμικού.
Η παραπάνω απάντηση φαίνεται να επιβεβαιώνει ότι η εταιρεία γνώριζε για αυτό το πιστοποιητικό που διέρρευσε από το 2016, αν και ισχυρίζεται ότι δεν υπήρξαν γνωστά περιστατικά ασφαλείας σχετικά με την ευπάθεια. Ωστόσο, δεν είναι ξεκάθαρο τι άλλο έχει κάνει για να κλείσει αυτή την ευπάθεια και δεδομένου ότι το κακόβουλο λογισμικό υποβλήθηκε για πρώτη φορά στο VirusTotal το 2016, φαίνεται ότι είναι σίγουρα στη φύση κάπου.
Έχουμε επικοινωνήσει με την MediaTek και την Google για σχόλια και θα σας ενημερώσουμε όταν μάθουμε νέα.
ΕΝΗΜΕΡΩΣΗ: 2022/12/02 12:45 EST BY ADAM CONWAY
Η Google απαντά
Η Google μας έδωσε την ακόλουθη δήλωση.
Οι εταίροι OEM εφάρμοσαν αμέσως μέτρα μετριασμού μόλις αναφέραμε τον βασικό συμβιβασμό. Οι τελικοί χρήστες θα προστατεύονται από μετριασμούς χρηστών που εφαρμόζονται από συνεργάτες OEM. Η Google έχει εφαρμόσει ευρείες ανιχνεύσεις για το κακόβουλο λογισμικό στο Build Test Suite, το οποίο σαρώνει εικόνες συστήματος. Το Google Play Protect εντοπίζει επίσης το κακόβουλο λογισμικό. Δεν υπάρχει καμία ένδειξη ότι αυτό το κακόβουλο λογισμικό βρίσκεται ή υπήρχε στο Google Play Store. Όπως πάντα, συμβουλεύουμε τους χρήστες να βεβαιωθούν ότι χρησιμοποιούν την πιο πρόσφατη έκδοση του Android.