एंड्रॉइड ओईएम कुंजी लीक का मतलब है कि साइडलोड किए गए "अपडेट" गंभीर मैलवेयर छिपा सकते हैं

मोबाइलJul 20, 2023
click fraud protection

प्रभावित होने वाली कंपनियों में सैमसंग, एलजी और मीडियाटेक शामिल हैं।

एंड्रॉइड स्मार्टफोन सुरक्षा का एक महत्वपूर्ण पहलू एप्लिकेशन हस्ताक्षर प्रक्रिया है। यह अनिवार्य रूप से यह गारंटी देने का एक तरीका है कि कोई भी ऐप अपडेट मूल डेवलपर से आ रहा है, क्योंकि एप्लिकेशन पर हस्ताक्षर करने के लिए उपयोग की जाने वाली कुंजी को हमेशा निजी रखा जाना चाहिए। ऐसा प्रतीत होता है कि सैमसंग, मीडियाटेक, एलजी और रेवोव्यू जैसे कई प्लेटफ़ॉर्म प्रमाणपत्र लीक हो गए हैं, और इससे भी बदतर, मैलवेयर पर हस्ताक्षर करने के लिए उपयोग किया गया है। इसका खुलासा एंड्रॉइड पार्टनर वल्नरेबिलिटी इनिशिएटिव (एपीवीआई) के माध्यम से किया गया था और यह केवल ऐप अपडेट पर लागू होता है, ओटीए पर नहीं।

जब साइनिंग कुंजी लीक हो जाती है, तो एक हमलावर, सिद्धांत रूप में, एक साइनिंग कुंजी के साथ एक दुर्भावनापूर्ण ऐप पर हस्ताक्षर कर सकता है और इसे किसी के फोन पर किसी ऐप में "अपडेट" के रूप में वितरित कर सकता है। किसी व्यक्ति को बस किसी तृतीय-पक्ष साइट से अपडेट को साइडलोड करना होगा, जो उत्साही लोगों के लिए एक काफी सामान्य अनुभव है। उस उदाहरण में, उपयोगकर्ता अनजाने में एंड्रॉइड ऑपरेटिंग सिस्टम-स्तर पर मैलवेयर तक पहुंच प्रदान कर रहा होगा, क्योंकि ये दुर्भावनापूर्ण ऐप्स एंड्रॉइड के "एंड्रॉइड" सिस्टम के साथ साझा यूआईडी और इंटरफ़ेस का उपयोग कर सकते हैं प्रक्रिया।

"प्लेटफ़ॉर्म प्रमाणपत्र एप्लिकेशन हस्ताक्षर प्रमाणपत्र है जिसका उपयोग सिस्टम छवि पर "एंड्रॉइड" एप्लिकेशन पर हस्ताक्षर करने के लिए किया जाता है। "एंड्रॉइड" एप्लिकेशन अत्यधिक विशेषाधिकार प्राप्त उपयोगकर्ता आईडी - android.uid.system - के साथ चलता है और उपयोगकर्ता डेटा तक पहुंचने की अनुमति सहित सिस्टम अनुमतियां रखता है। समान प्रमाणपत्र के साथ हस्ताक्षरित कोई अन्य एप्लिकेशन यह घोषणा कर सकता है कि वह उसी उपयोगकर्ता के साथ चलना चाहता है आईडी, इसे एंड्रॉइड ऑपरेटिंग सिस्टम तक समान स्तर की पहुंच प्रदान करती है," एपीवीआई के रिपोर्टर बताते हैं। ये प्रमाणपत्र विक्रेता-विशिष्ट हैं, जिसमें सैमसंग डिवाइस पर प्रमाणपत्र एलजी डिवाइस पर प्रमाणपत्र से भिन्न होगा, भले ही उनका उपयोग "एंड्रॉइड" एप्लिकेशन पर हस्ताक्षर करने के लिए किया जाता हो।

इन मैलवेयर नमूनों की खोज Google के एक रिवर्स इंजीनियर लुकाज़ सिवियर्स्की ने की थी। सिविएर्स्की ने प्रत्येक मैलवेयर नमूने और उनके हस्ताक्षर प्रमाणपत्रों के SHA256 हैश साझा किए, और हम उन नमूनों को वायरसटोटल पर देखने में सक्षम थे। यह स्पष्ट नहीं है कि वे नमूने कहाँ पाए गए थे, और क्या वे पहले Google Play Store, APK साझाकरण साइटों जैसे APKMirror, या कहीं और वितरित किए गए थे। इन प्लेटफ़ॉर्म प्रमाणपत्रों के साथ हस्ताक्षरित मैलवेयर के पैकेज नामों की सूची नीचे है। अपडेट: Google का कहना है कि यह मैलवेयर Google Play Store पर नहीं पाया गया।

  • com.vantage.ectronic.cornmuni
  • com.russian.signato.renewis
  • com.sledsdffsjkh. खोज
  • com.android.power
  • com.प्रबंधन.प्रचार
  • com.sec.android.musicplayer
  • com.houla.quiken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage

रिपोर्ट में कहा गया है कि "सभी प्रभावित पक्षों को निष्कर्षों के बारे में सूचित किया गया और उन्होंने सुधारात्मक उपाय किए हैं उपयोगकर्ता प्रभाव को कम करने के लिए।" हालाँकि, कम से कम सैमसंग के मामले में, ऐसा लगता है कि ये प्रमाणपत्र अभी भी मौजूद हैं उपयोग। एपीकेमिरर पर खोज रहे हैं इसके लीक हुए प्रमाणपत्र के लिए आज भी अपडेट इन लीक हस्ताक्षर कुंजियों के साथ वितरित किए जा रहे हैं।

चिंता की बात यह है कि सैमसंग के प्रमाणपत्र के साथ हस्ताक्षरित मैलवेयर नमूनों में से एक पहली बार 2016 में प्रस्तुत किया गया था। यह स्पष्ट नहीं है कि सैमसंग के प्रमाणपत्र छह वर्षों से दुर्भावनापूर्ण हाथों में हैं या नहीं। इस समय यह और भी कम स्पष्ट है कैसे इन प्रमाणपत्रों को जंगल में प्रसारित किया गया है और यदि इसके परिणामस्वरूप पहले से ही कोई क्षति हुई है। लोग हर समय ऐप अपडेट को साइडलोड करते हैं और यह सुनिश्चित करने के लिए प्रमाणपत्र हस्ताक्षर प्रणाली पर भरोसा करते हैं कि वे ऐप अपडेट वैध हैं।

जहाँ तक यह बात है कि कंपनियाँ क्या कर सकती हैं, आगे बढ़ने का सबसे अच्छा तरीका कुंजी रोटेशन है। एंड्रॉइड की एपीके साइनिंग स्कीम v3 मूल रूप से कुंजी रोटेशन का समर्थन करती है, और डेवलपर्स साइनिंग स्कीम v2 से v3 में अपग्रेड कर सकते हैं।

एपीवीआई पर रिपोर्टर द्वारा दी गई सुझाई गई कार्रवाई यह है कि "सभी प्रभावित पक्षों को प्लेटफ़ॉर्म प्रमाणपत्र को सार्वजनिक और निजी कुंजी के एक नए सेट के साथ बदलकर घुमाना चाहिए। इसके अतिरिक्त, उन्हें समस्या के मूल कारण का पता लगाने के लिए आंतरिक जांच करनी चाहिए और भविष्य में इस घटना को होने से रोकने के लिए कदम उठाने चाहिए।"

"हम प्लेटफ़ॉर्म प्रमाणपत्र के साथ हस्ताक्षरित आवेदनों की संख्या को कम करने की भी दृढ़ता से अनुशंसा करते हैं, जैसा कि यह होगा भविष्य में इसी तरह की घटना होने पर प्लेटफ़ॉर्म कुंजियों को घुमाने की लागत काफी कम हो जाएगी," यह निष्कर्ष.

जब हमने सैमसंग से संपर्क किया, तो कंपनी के प्रवक्ता ने हमें निम्नलिखित प्रतिक्रिया दी।

सैमसंग गैलेक्सी उपकरणों की सुरक्षा को गंभीरता से लेता है। समस्या से अवगत होने पर हमने 2016 से सुरक्षा पैच जारी किए हैं, और इस संभावित भेद्यता के संबंध में कोई ज्ञात सुरक्षा घटना नहीं हुई है। हम हमेशा अनुशंसा करते हैं कि उपयोगकर्ता अपने डिवाइस को नवीनतम सॉफ़्टवेयर अपडेट के साथ अपडेट रखें।

उपरोक्त प्रतिक्रिया इस बात की पुष्टि करती प्रतीत होती है कि कंपनी को 2016 से इस लीक प्रमाणपत्र के बारे में पता है, हालांकि यह दावा करता है कि भेद्यता के संबंध में कोई ज्ञात सुरक्षा घटना नहीं हुई है। हालाँकि, यह स्पष्ट नहीं है कि उसने उस भेद्यता को बंद करने के लिए और क्या किया है, और मैलवेयर को देखते हुए पहली बार 2016 में वायरसटोटल को सबमिट किया गया था, ऐसा प्रतीत होता है कि यह निश्चित रूप से जंगल में है कहीं।

हमने टिप्पणी के लिए मीडियाटेक और गूगल से संपर्क किया है और जब हम जवाब देंगे तो आपको अपडेट करेंगे।

अद्यतन: 2022/12/02 12:45 ईएसटी एडम कॉनवे द्वारा

गूगल जवाब देता है

Google ने हमें निम्नलिखित कथन दिया है.

जैसे ही हमने प्रमुख समझौते की सूचना दी, ओईएम भागीदारों ने तुरंत शमन उपाय लागू कर दिए। अंतिम उपयोगकर्ताओं को ओईएम भागीदारों द्वारा कार्यान्वित उपयोगकर्ता शमन द्वारा संरक्षित किया जाएगा। Google ने बिल्ड टेस्ट सूट में मैलवेयर के लिए व्यापक पहचान लागू की है, जो सिस्टम छवियों को स्कैन करता है। गूगल प्ले प्रोटेक्ट मैलवेयर का भी पता लगाता है। इस बात का कोई संकेत नहीं है कि यह मैलवेयर Google Play Store पर है या था। हमेशा की तरह, हम उपयोगकर्ताओं को यह सुनिश्चित करने की सलाह देते हैं कि वे एंड्रॉइड का नवीनतम संस्करण चला रहे हैं।