Samsung, LG et MediaTek font partie des entreprises concernées.
Un aspect crucial de la sécurité des smartphones Android est le processus de signature des applications. C'est essentiellement un moyen de garantir que toutes les mises à jour d'applications proviennent du développeur d'origine, car la clé utilisée pour signer les applications doit toujours rester privée. Un certain nombre de ces certificats de plate-forme tels que Samsung, MediaTek, LG et Revoview semblent avoir fui, et pire encore, ont été utilisés pour signer des logiciels malveillants. Cela a été divulgué par le biais de l'Android Partner Vulnerability Initiative (APVI) et ne s'applique qu'aux mises à jour d'applications, pas aux OTA.
Lors d'une fuite de clés de signature, un attaquant pourrait, en théorie, signer une application malveillante avec une clé de signature et la distribuer en tant que "mise à jour" à une application sur le téléphone de quelqu'un. Tout ce qu'une personne aurait à faire était de télécharger une mise à jour à partir d'un site tiers, ce qui, pour les passionnés, est une expérience assez courante. Dans ce cas, l'utilisateur donnerait sans le savoir un accès au niveau du système d'exploitation Android aux logiciels malveillants, car ces applications malveillantes peuvent utiliser l'UID partagé d'Android et s'interfacer avec le système "android" processus.
"Un certificat de plate-forme est le certificat de signature d'application utilisé pour signer l'application "android" sur l'image système. L'application "android" s'exécute avec un identifiant d'utilisateur hautement privilégié - android.uid.system - et détient les autorisations système, y compris les autorisations d'accès aux données de l'utilisateur. Toute autre application signée avec le même certificat peut déclarer qu'elle veut s'exécuter avec le même utilisateur id, lui donnant le même niveau d'accès au système d'exploitation Android", explique le journaliste de l'APVI. Ces certificats sont spécifiques au fournisseur, en ce sens que le certificat sur un appareil Samsung sera différent du certificat sur un appareil LG, même s'ils sont utilisés pour signer l'application "android".
Ces échantillons de logiciels malveillants ont été découverts par Łukasz Siewierski, un rétro-ingénieur chez Google. Siewierski a partagé les hachages SHA256 de chacun des échantillons de logiciels malveillants et de leurs certificats de signature, et nous avons pu afficher ces échantillons sur VirusTotal. On ne sait pas où ces échantillons ont été trouvés et s'ils étaient auparavant distribués sur le Google Play Store, des sites de partage d'APK tels que APKMirror ou ailleurs. La liste des noms de packages de logiciels malveillants signés avec ces certificats de plate-forme est ci-dessous. Mise à jour: Google indique que ce logiciel malveillant n'a pas été détecté sur le Google Play Store.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Recherche
- com.android.power
- com.gestion.propagande
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
Dans le rapport, il est indiqué que "toutes les parties concernées ont été informées des conclusions et ont pris des mesures correctives pour minimiser l'impact sur l'utilisateur." Cependant, au moins dans le cas de Samsung, il semble que ces certificats soient encore en vigueur. utiliser. Recherche sur APKMirror car son certificat divulgué montre que les mises à jour d'aujourd'hui sont distribuées avec ces clés de signature divulguées.
Fait inquiétant, l'un des échantillons de logiciels malveillants signés avec le certificat de Samsung a été soumis pour la première fois en 2016. On ne sait pas si les certificats de Samsung sont donc entre des mains malveillantes depuis six ans. Encore moins clair à ce stade est comment ces certificats ont été diffusés dans la nature et s'il y a déjà eu des dommages en conséquence. Les gens téléchargent en permanence les mises à jour d'applications et s'appuient sur le système de signature de certificat pour s'assurer que ces mises à jour d'applications sont légitimes.
Quant à ce que les entreprises peuvent faire, la meilleure voie à suivre est une rotation des clés. Le schéma de signature APK v3 d'Android prend en charge la rotation des clés de manière native, et les développeurs peuvent passer de Signing Scheme v2 à v3.
L'action suggérée par le journaliste sur l'APVI est la suivante: "Toutes les parties concernées doivent faire pivoter le certificat de la plate-forme en le remplaçant par un nouvel ensemble de clés publiques et privées. De plus, ils doivent mener une enquête interne pour trouver la cause profonde du problème et prendre des mesures pour empêcher que l'incident ne se reproduise à l'avenir."
"Nous recommandons également fortement de minimiser le nombre d'applications signées avec le certificat de la plate-forme, car cela réduire considérablement le coût de la rotation des clés de plate-forme si un incident similaire se produisait à l'avenir », il conclut.
Lorsque nous avons contacté Samsung, nous avons reçu la réponse suivante d'un porte-parole de l'entreprise.
Samsung prend au sérieux la sécurité des appareils Galaxy. Nous avons publié des correctifs de sécurité depuis 2016 après avoir été informés du problème, et il n'y a eu aucun incident de sécurité connu concernant cette vulnérabilité potentielle. Nous recommandons toujours aux utilisateurs de maintenir leurs appareils à jour avec les dernières mises à jour logicielles.
La réponse ci-dessus semble confirmer que la société est au courant de ce certificat divulgué depuis 2016, bien qu'elle affirme qu'il n'y a eu aucun incident de sécurité connu concernant la vulnérabilité. Cependant, on ne sait pas ce qu'il a fait d'autre pour fermer cette vulnérabilité, et étant donné que le logiciel malveillant a été soumis pour la première fois à VirusTotal en 2016, il semblerait qu'il soit définitivement dans la nature quelque part.
Nous avons contacté MediaTek et Google pour obtenir des commentaires et vous tiendrons au courant lorsque nous vous répondrons.
MISE À JOUR: 2022/12/02 12:45 EST PAR ADAM CONWAY
Google répond
Google nous a donné la déclaration suivante.
Les partenaires OEM ont rapidement mis en œuvre des mesures d'atténuation dès que nous avons signalé le compromis clé. Les utilisateurs finaux seront protégés par les mesures d'atténuation des utilisateurs mises en œuvre par les partenaires OEM. Google a mis en place de larges détections pour les logiciels malveillants dans Build Test Suite, qui analyse les images système. Google Play Protect détecte également le logiciel malveillant. Rien n'indique que ce malware est ou était sur le Google Play Store. Comme toujours, nous conseillons aux utilisateurs de s'assurer qu'ils utilisent la dernière version d'Android.