Samsung, LG ja MediaTek ovat mukana yrityksissä.
Olennainen osa Android-älypuhelinten turvallisuutta on sovelluksen allekirjoitusprosessi. Se on pohjimmiltaan tapa taata, että kaikki sovelluspäivitykset tulevat alkuperäiseltä kehittäjältä, koska sovellusten allekirjoittamiseen käytetty avain tulee aina pitää yksityisenä. Monet näistä Samsungin, MediaTekin, LG: n ja Revoviewin kaltaisista alustavarmenteista näyttävät vuotaneen, ja mikä vielä pahempaa, niitä on käytetty haittaohjelmien allekirjoittamiseen. Tämä julkistettiin Android Partner Vulnerability Initiativen (APVI) kautta, ja se koskee vain sovelluspäivityksiä, ei OTA-päivityksiä.
Allekirjoitusavainten vuotaessa hyökkääjä voisi teoriassa allekirjoittaa haitallisen sovelluksen allekirjoitusavaimella ja jakaa sen "päivityksenä" jonkun puhelimen sovellukseen. Ihmisen tarvitsee vain ladata sivulta päivitys kolmannen osapuolen sivustolta, mikä on harrastajille melko yleinen kokemus. Siinä tapauksessa käyttäjä antaisi tietämättään Android-käyttöjärjestelmätason pääsyn haittaohjelmiin, koska nämä haitalliset sovellukset voivat hyödyntää Androidin jaettua UID: tä ja käyttöliittymää "android"-järjestelmän kanssa käsitellä asiaa.
"Alustavarmenne on sovelluksen allekirjoitusvarmenne, jota käytetään "android"-sovelluksen allekirjoittamiseen järjestelmäkuvassa. "Android"-sovellus toimii erittäin etuoikeutetulla käyttäjätunnuksella - android.uid.system - ja sillä on järjestelmän käyttöoikeudet, mukaan lukien käyttöoikeudet käyttäjätietoihin. Mikä tahansa muu samalla varmenteella allekirjoitettu sovellus voi ilmoittaa haluavansa toimia saman käyttäjän kanssa id, mikä antaa sille saman tason pääsyn Android-käyttöjärjestelmään", APVI: n toimittaja selittää. Nämä varmenteet ovat toimittajakohtaisia, sillä Samsung-laitteen varmenne on erilainen kuin LG-laitteen varmenne, vaikka niitä käytettäisiin "android"-sovelluksen allekirjoittamiseen.
Nämä haittaohjelmanäytteet löysi Łukasz Siewierski, Googlen reverse engineer. Siewierski jakoi SHA256-tiivisteet jokaisesta haittaohjelmanäytteestä ja niiden allekirjoitusvarmenteista, ja näimme nämä näytteet VirusTotalissa. Ei ole selvää, mistä nämä näytteet löydettiin, ja onko niitä aiemmin jaettu Google Play Kaupassa, APK: n jakamissivustoilla, kuten APKMirror, tai muualla. Luettelo näillä alustavarmenteilla allekirjoitettujen haittaohjelmien paketin nimistä on alla. Päivitys: Google sanoo, että tätä haittaohjelmaa ei havaittu Google Play Kaupasta.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Hae
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
Raportissa todetaan, että "Kaikille osapuolille, joita asia koskee, tiedotettiin havainnoista, ja ne ovat ryhtyneet korjaaviin toimiin käyttäjävaikutuksen minimoimiseksi." Ainakin Samsungin tapauksessa näyttää kuitenkin siltä, että nämä varmenteet ovat edelleen voimassa käyttää. Haku APKMirrorissa sen vuotanut sertifikaatti näyttää päivityksiä vielä tänäkin päivänä jaetaan näillä vuotaneilla allekirjoitusavaimilla.
Huolestuttavaa on, että yksi Samsungin varmenteella allekirjoitetuista haittaohjelmanäytteistä toimitettiin ensimmäisen kerran vuonna 2016. On epäselvää, ovatko Samsungin sertifikaatit siksi olleet haitallisten käsissä kuuden vuoden ajan. Vielä vähemmän selvää on tällä hetkellä Miten näitä todistuksia on levitetty luonnossa ja jos niistä on jo aiheutunut vahinkoa. Ihmiset lataavat sovelluspäivityksiä koko ajan ja luottavat varmenteen allekirjoitusjärjestelmään varmistaakseen, että sovelluspäivitykset ovat laillisia.
Mitä tulee siihen, mitä yritykset voivat tehdä, paras tapa edetä on avainten kierto. Androidin APK Signing Scheme v3 tukee avainten kiertoa natiivisti, ja kehittäjät voivat päivittää Signing Scheme v2:sta v3:een.
Toimittajan ehdottama toimenpide APVI: lle on, että "Kaikkien asianomaisten osapuolten tulisi kiertää alustan varmennetta korvaamalla se uudella julkisten ja yksityisten avainten joukolla. Lisäksi heidän tulee suorittaa sisäinen tutkimus löytääkseen ongelman perimmäisen syyn ja ryhtyä toimiin estääkseen tapauksen toistumisen tulevaisuudessa."
"Suosittelemme myös voimakkaasti minimoimaan alustavarmenteella allekirjoitettujen sovellusten määrän, kuten se tulee tekemään huomattavasti alentaa pyörivien alustaavainten kustannuksia, jos vastaava tapaus tapahtuu tulevaisuudessa", se päättää.
Kun otimme yhteyttä Samsungiin, saimme seuraavan vastauksen yrityksen tiedottajalta.
Samsung ottaa Galaxy-laitteiden turvallisuuden vakavasti. Olemme julkaisseet tietoturvakorjauksia vuodesta 2016 lähtien, kun olemme saaneet tietoomme ongelmasta, eikä tähän mahdolliseen haavoittuvuuteen liittyviä tietoturvatapauksia ole ollut. Suosittelemme aina, että käyttäjät pitävät laitteensa ajan tasalla uusimpien ohjelmistopäivitysten kanssa.
Yllä oleva vastaus näyttää vahvistavan, että yritys on tiennyt tästä vuotaneesta sertifikaatista vuodesta 2016, vaikka se väittääkin, että haavoittuvuutta ei ole tiedossa. Ei kuitenkaan ole selvää, mitä muuta se on tehnyt haavoittuvuuden ja haittaohjelman sulkemiseksi lähetettiin VirusTotalille ensimmäisen kerran vuonna 2016, näyttää siltä, että se on ehdottomasti luonnossa jonnekin.
Olemme ottaneet yhteyttä MediaTekiin ja Googleen kommentteja varten ja ilmoitamme sinulle, kun kuulemme vastauksen.
PÄIVITYS: 12.2.2022 12:45 EST, ADAM CONWAY
Google vastaa
Google on antanut meille seuraavan lausunnon.
OEM-kumppanit ottivat välittömästi käyttöön lieventäviä toimenpiteitä heti, kun raportoimme keskeisen kompromissin. Loppukäyttäjiä suojellaan OEM-kumppaneiden toteuttamilla käyttäjärajoitteilla. Google on ottanut käyttöön laajoja haittaohjelmien havaintoja Build Test Suitessa, joka skannaa järjestelmäkuvia. Google Play Protect havaitsee myös haittaohjelman. Ei ole viitteitä siitä, että tämä haittaohjelma olisi tai olisi ollut Google Play Kaupassa. Kuten aina, suosittelemme käyttäjiä varmistamaan, että he käyttävät Androidin uusinta versiota.