Samsung, LG ja MediaTek on mõjutatud ettevõtete hulgas.
Androidi nutitelefoni turvalisuse oluline aspekt on rakenduse allkirjastamise protsess. See on sisuliselt viis tagada, et kõik rakenduse värskendused pärinevad algselt arendajalt, kuna rakenduste allkirjastamiseks kasutatav võti peaks alati olema privaatne. Paljud Samsungi, MediaTeki, LG ja Revoview platvormi sertifikaadid näivad olevat lekkinud ja mis veelgi hullem, neid on kasutatud pahavara allkirjastamiseks. See avalikustati Android Partner Vulnerability Initiative (APVI) kaudu ja see kehtib ainult rakenduste värskenduste, mitte OTA-de kohta.
Allkirjastamisvõtmete lekkimisel võib ründaja teoreetiliselt allkirjastada allkirjastamisvõtmega pahatahtliku rakenduse ja levitada seda kellegi telefonis oleva rakenduse "värskendusena". Kõik, mida inimene peaks tegema, oli värskenduse külglaadimine kolmanda osapoole saidilt, mis on entusiastide jaoks üsna tavaline kogemus. Sel juhul annaks kasutaja teadmata Androidi operatsioonisüsteemi tasemel juurdepääsu pahavarale, kuna need pahatahtlikud rakendused saavad kasutada Androidi jagatud UID-d ja liidest "android" süsteemiga protsessi.
"Platvormi sertifikaat on rakenduse allkirjastamise sertifikaat, mida kasutatakse "android" rakenduse allkirjastamiseks süsteemipildil. Rakendus "android" töötab kõrge privilegeeritud kasutaja ID-ga - android.uid.system - ja omab süsteemi õigusi, sealhulgas kasutajaandmetele juurdepääsu õigusi. Iga teine sama serdiga allkirjastatud rakendus võib deklareerida, et soovib töötada sama kasutajaga id, andes sellele Androidi operatsioonisüsteemile samal tasemel juurdepääsu," selgitab APVI reporter. Need sertifikaadid on hankijapõhised, kuna Samsungi seadme sertifikaat erineb LG seadme sertifikaadist isegi siis, kui neid kasutatakse rakenduse "android" allkirjastamiseks.
Need pahavara näidised avastas Google'i pöördinsener Łukasz Siewierski. Siewierski jagas SHA256 räsi iga pahavara näidise ja nende allkirjastamissertifikaatide kohta ning saime neid näidiseid VirusTotalis vaadata. Pole selge, kust need näidised leiti ja kas neid levitati varem Google Play poes, APK jagamise saitidel (nt APKMirror) või mujal. Nende platvormi sertifikaatidega allkirjastatud pahavara pakettide nimede loend on allpool. Värskendus: Google väidab, et seda pahavara Google Play poes ei tuvastatud.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Otsing
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
Aruandes öeldakse, et "kõiki mõjutatud isikuid teavitati leidudest ja nad on võtnud parandusmeetmeid kasutajate mõju minimeerimiseks." Kuid vähemalt Samsungi puhul tundub, et need sertifikaadid on endiselt olemas kasutada. Otsimine APKMirroris selle lekkinud sertifikaadi jaoks kuvatakse isegi tänaste värskenduste levitamine nende lekkinud allkirjastamisvõtmetega.
Murettekitav on see, et üks Samsungi sertifikaadiga allkirjastatud pahavara näidistest esitati esmakordselt 2016. aastal. On ebaselge, kas Samsungi sertifikaadid on seetõttu olnud kuus aastat pahatahtlike kätes. Praegusel ajahetkel on see veelgi vähem selge kuidas need sertifikaadid on looduses levitatud ja kui selle tulemusena on juba tekkinud kahju. Inimesed laadivad rakenduste värskendusi kogu aeg külje alla ja toetuvad sertifikaadi allkirjastamise süsteemile, et tagada nende rakenduste värskenduste õiguspärasus.
Mis puudutab seda, mida ettevõtted saavad teha, siis parim viis edasi on võtmete vaheldumine. Androidi APK allkirjastamisskeem v3 toetab võtmete pööramist algseltja arendajad saavad allkirjastamisskeemi versioonilt 2 versioonile 3 üle minna.
Reporteri soovitatud toiming APVI kohta on järgmine: "Kõik mõjutatud osapooled peaksid platvormi sertifikaati vahetama, asendades selle uute avalike ja privaatvõtmete komplektiga. Lisaks peaksid nad läbi viima sisejuurdluse, et leida probleemi algpõhjus ja astuda samme, et vältida intsidendi kordumist tulevikus.
"Samuti soovitame tungivalt minimeerida platvormi sertifikaadiga allkirjastatud rakenduste arvu, nagu see juhtub oluliselt vähendada platvormi võtmete pöörlemise kulusid, kui sarnane juhtum peaks tulevikus aset leidma järeldab.
Kui Samsungiga ühendust võtsime, andis ettevõtte pressiesindaja meile järgmise vastuse.
Samsung suhtub Galaxy seadmete turvalisusesse tõsiselt. Oleme probleemist teadasaamisel välja andnud turvapaigad alates 2016. aastast ja selle potentsiaalse haavatavusega seotud turvaintsidente pole teadaolevalt esinenud. Soovitame kasutajatel alati hoida oma seadmeid uusimate tarkvarauuendustega ajakohasena.
Ülaltoodud vastus näib kinnitavat, et ettevõte on lekkinud sertifikaadist teadnud alates 2016. aastast, kuigi väidetavalt pole haavatavusega seotud turvaintsidente olnud. Siiski pole selge, mida ta veel selle haavatavuse ja seda pahavara sulgemiseks on teinud Esitati VirusTotalile esmakordselt 2016. aastal, tundub, et see on kindlasti looduses kusagil.
Oleme kommentaaride saamiseks ühendust võtnud MediaTeki ja Google'iga ning teavitame teid, kui vastu saame.
VÄRSKENDUS: 2022/12/02 12:45 EST, ADAM CONWAY
Google vastab
Google on meile esitanud järgmise avalduse.
OEM-i partnerid rakendasid leevendusmeetmed kohe, kui teatasime peamisest kompromissist. Lõppkasutajaid kaitsevad OEM-partnerite rakendatud kasutajate leevendusmeetmed. Google on rakendanud süsteemipilte skannivas Build Test Suite'is pahavara laialdased tuvastamised. Google Play Protect tuvastab ka pahavara. Miski ei viita sellele, et see pahavara oleks või oli Google Play poes. Nagu alati, soovitame kasutajatel veenduda, et nad kasutaksid Androidi uusimat versiooni.