La fuga de clave OEM de Android significa que las "actualizaciones" cargadas localmente podrían estar ocultando malware grave

Samsung, LG y MediaTek se encuentran entre las empresas afectadas.

Un aspecto crucial de la seguridad de los teléfonos inteligentes Android es el proceso de firma de aplicaciones. Es esencialmente una forma de garantizar que cualquier actualización de la aplicación provenga del desarrollador original, ya que la clave utilizada para firmar aplicaciones siempre debe mantenerse privada. Varios de estos certificados de plataforma de Samsung, MediaTek, LG y Revoview parecen haberse filtrado y, lo que es peor, se han utilizado para firmar malware. Esto se reveló a través de la Iniciativa de vulnerabilidad de socios de Android (APVI) y solo se aplica a las actualizaciones de aplicaciones, no a las OTA.

Cuando se filtran las claves de firma, un atacante podría, en teoría, firmar una aplicación maliciosa con una clave de firma y distribuirla como una "actualización" de una aplicación en el teléfono de alguien. Todo lo que una persona tendría que hacer sería descargar una actualización de un sitio de terceros, lo que para los entusiastas es una experiencia bastante común. En ese caso, el usuario, sin saberlo, estaría dando acceso al malware al nivel del sistema operativo Android, ya que estas aplicaciones maliciosas pueden hacer uso del UID compartido de Android y la interfaz con el sistema "android" proceso.

"Un certificado de plataforma es el certificado de firma de la aplicación que se usa para firmar la aplicación "android" en la imagen del sistema. La aplicación "android" se ejecuta con una identificación de usuario altamente privilegiada, android.uid.system, y tiene permisos del sistema, incluidos los permisos para acceder a los datos del usuario. Cualquier otra aplicación firmada con el mismo certificado puede declarar que quiere ejecutarse con el mismo usuario id, dándole el mismo nivel de acceso al sistema operativo Android", explica el reportero de la APVI. Estos certificados son específicos del proveedor, ya que el certificado de un dispositivo Samsung será diferente del certificado de un dispositivo LG, incluso si se utilizan para firmar la aplicación "android".

Estas muestras de malware fueron descubiertas por Łukasz Siewierski, ingeniero inverso de Google. Siewierski compartió hashes SHA256 de cada una de las muestras de malware y sus certificados de firma, y ​​pudimos ver esas muestras en VirusTotal. No está claro dónde se encontraron esas muestras y si se distribuyeron previamente en Google Play Store, sitios para compartir APK como APKMirror o en otros lugares. La lista de nombres de paquetes de malware firmados con estos certificados de plataforma se encuentra a continuación. Actualización: Google dice que este malware no se detectó en Google Play Store.

  • com.vantage.ectronic.cornmuni
  • com.ruso.signato.renewis
  • com.sledsdffsjkh. Buscar
  • com.android.poder
  • com.management.propaganda
  • com.sec.android.musicplayer
  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage

En el informe se afirma que “Todas las partes afectadas fueron informadas de los hallazgos y han tomado medidas de remediación. para minimizar el impacto del usuario". Sin embargo, al menos en el caso de Samsung, parece que estos certificados todavía están en usar. Buscando en APKMirror porque su certificado filtrado muestra actualizaciones que incluso hoy se distribuyen con estas claves de firma filtradas.

De manera preocupante, una de las muestras de malware que se firmó con el certificado de Samsung se envió por primera vez en 2016. No está claro si los certificados de Samsung han estado en manos malintencionadas durante seis años. Aún menos claro en este momento es cómo estos certificados han circulado en la naturaleza y si ya ha habido algún daño como resultado. Las personas descargan actualizaciones de aplicaciones todo el tiempo y confían en el sistema de firma de certificados para asegurarse de que esas actualizaciones de aplicaciones sean legítimas.

En cuanto a lo que pueden hacer las empresas, la mejor manera de avanzar es una rotación clave. El esquema de firma de APK de Android v3 admite la rotación de claves de forma nativay los desarrolladores pueden actualizar de Signing Scheme v2 a v3.

La acción sugerida dada por el reportero en el APVI es que "Todas las partes afectadas deben rotar el certificado de la plataforma reemplazándolo con un nuevo conjunto de claves públicas y privadas. Además, deben realizar una investigación interna para encontrar la causa raíz del problema y tomar medidas para evitar que el incidente vuelva a ocurrir en el futuro".

"También recomendamos encarecidamente minimizar la cantidad de aplicaciones firmadas con el certificado de la plataforma, ya que reducir significativamente el costo de rotar las llaves de la plataforma en caso de que ocurra un incidente similar en el futuro", concluye.

Cuando nos comunicamos con Samsung, un portavoz de la empresa nos dio la siguiente respuesta.

Samsung se toma muy en serio la seguridad de los dispositivos Galaxy. Hemos emitido parches de seguridad desde 2016 al enterarnos del problema, y ​​no ha habido incidentes de seguridad conocidos con respecto a esta posible vulnerabilidad. Siempre recomendamos que los usuarios mantengan sus dispositivos actualizados con las últimas actualizaciones de software.

La respuesta anterior parece confirmar que la empresa conoce este certificado filtrado desde 2016, aunque afirma que no ha habido incidentes de seguridad conocidos con respecto a la vulnerabilidad. Sin embargo, no está claro qué más ha hecho para cerrar esa vulnerabilidad, y dado que el malware se envió por primera vez a VirusTotal en 2016, parece que definitivamente está en la naturaleza en algún lugar.

Nos comunicamos con MediaTek y Google para obtener comentarios y lo actualizaremos cuando tengamos una respuesta.

ACTUALIZACIÓN: 2022/12/02 12:45 EST POR ADAM CONWAY

Google responde

Google nos ha dado la siguiente declaración.

Los socios OEM implementaron rápidamente medidas de mitigación tan pronto como informamos el compromiso clave. Los usuarios finales estarán protegidos por mitigaciones de usuarios implementadas por socios OEM. Google ha implementado detecciones amplias para el malware en Build Test Suite, que escanea imágenes del sistema. Google Play Protect también detecta el malware. No hay indicios de que este malware esté o haya estado en Google Play Store. Como siempre, recomendamos a los usuarios que se aseguren de estar ejecutando la última versión de Android.