Samsung, LG i MediaTek su među pogođenim tvrtkama.
Ključni aspekt sigurnosti Android pametnog telefona je postupak potpisivanja aplikacije. To je u biti način da se jamči da sva ažuriranja aplikacije dolaze od izvornog razvojnog programera, budući da ključ koji se koristi za potpisivanje aplikacija uvijek treba biti privatan. Čini se da su neki od ovih certifikata platformi poput Samsunga, MediaTeka, LG-a i Revoviewa procurili i, što je još gore, korišteni za potpisivanje zlonamjernog softvera. Ovo je otkriveno putem Android Partner Vulnerability Initiative (APVI) i odnosi se samo na ažuriranja aplikacija, ne i na OTA-e.
Kada ključevi za potpisivanje procure, napadač bi u teoriji mogao potpisati zlonamjernu aplikaciju s ključem za potpisivanje i distribuirati ga kao "ažuriranje" aplikacije na nečijem telefonu. Sve što bi osoba trebala učiniti bilo je učitati ažuriranje sa stranice treće strane, što je za entuzijaste prilično uobičajeno iskustvo. U tom bi slučaju korisnik nesvjesno dao pristup zlonamjernom softveru na razini operativnog sustava Android, budući da ove zlonamjerne aplikacije mogu koristiti Androidov zajednički UID i sučelje sa sustavom "android". postupak.
„Certifikat platforme je certifikat za potpisivanje aplikacije koji se koristi za potpisivanje „android“ aplikacije na slici sustava. Aplikacija "android" radi s visoko privilegiranim korisničkim ID-om - android.uid.system - i ima dopuštenja sustava, uključujući dopuštenja za pristup korisničkim podacima. Bilo koja druga aplikacija potpisana istim certifikatom može izjaviti da želi raditi s istim korisnikom id, dajući mu istu razinu pristupa operativnom sustavu Android", objašnjava novinar APVI-ja. Ovi certifikati su specifični za dobavljača, tako da će se certifikat na Samsung uređaju razlikovati od certifikata na LG uređaju, čak i ako se koriste za potpisivanje "android" aplikacije.
Ove uzorke zlonamjernog softvera otkrio je Łukasz Siewierski, obrnuti inženjer u Googleu. Siewierski je podijelio SHA256 hashove za svaki od uzoraka zlonamjernog softvera i njihovih certifikata za potpisivanje, a te smo uzorke mogli vidjeti na VirusTotalu. Nije jasno gdje su ti uzorci pronađeni i jesu li prethodno bili distribuirani na Google Play Storeu, stranicama za dijeljenje APK-a kao što je APKMirror ili negdje drugdje. Dolje je popis naziva paketa zlonamjernog softvera potpisanog ovim certifikatima platforme. Ažuriranje: Google kaže da ovaj zlonamjerni softver nije otkriven u Trgovini Google Play.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. traži
- com.android.power
- com.uprava.propaganda
- com.sec.android.musicplayer
- com.houla.brzo
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
U izvješću se navodi da su "sve pogođene strane obaviještene o nalazima i poduzele sanacijske mjere kako bi se smanjio utjecaj na korisnika." Međutim, barem u slučaju Samsunga, čini se da su ti certifikati još uvijek prisutni koristiti. Pretraživanje na APKMirror jer njegov procurjeli certifikat pokazuje ažuriranja od danas koja se distribuiraju s ovim procurjelim ključevima za potpisivanje.
Zabrinjavajuće je da je jedan od uzoraka zlonamjernog softvera koji je potpisan Samsungovim certifikatom prvi put dostavljen 2016. godine. Nejasno je jesu li Samsungovi certifikati stoga bili u rukama zlonamjernika šest godina. Još je manje jasno u ovom trenutku kako ti su certifikati kružili u prirodi i ako je zbog toga već nastala bilo kakva šteta. Ljudi stalno učitavaju ažuriranja aplikacija i oslanjaju se na sustav potpisivanja certifikata kako bi osigurali da su ta ažuriranja aplikacija legitimna.
Što se tiče onoga što tvrtke mogu učiniti, najbolji put naprijed je rotacija ključeva. Androidova shema potpisivanja APK-a v3 izvorno podržava rotaciju ključeva, a programeri mogu nadograditi sa Scheme potpisivanja v2 na v3.
Predložena radnja koju je dao izvjestitelj na APVI je da "sve pogođene strane trebaju rotirati certifikat platforme zamjenom s novim skupom javnih i privatnih ključeva. Osim toga, trebali bi provesti internu istragu kako bi pronašli uzrok problema i poduzeli korake kako bi spriječili da se incident dogodi u budućnosti."
"Također snažno preporučujemo smanjenje broja aplikacija potpisanih certifikatom platforme, jer i hoće značajno sniziti troškove rotirajućih ključeva platforme ako se sličan incident dogodi u budućnosti," it zaključuje.
Kada smo kontaktirali Samsung, glasnogovornik tvrtke nam je dao sljedeći odgovor.
Samsung ozbiljno shvaća sigurnost Galaxy uređaja. Izdali smo sigurnosne zakrpe od 2016. nakon što smo bili upoznati s problemom i nije bilo poznatih sigurnosnih incidenata u vezi s ovom potencijalnom ranjivošću. Korisnicima uvijek preporučujemo da svoje uređaje ažuriraju najnovijim softverskim ažuriranjima.
Čini se da gornji odgovor potvrđuje da je tvrtka znala za ovaj procurjeli certifikat od 2016., iako tvrdi da nije bilo poznatih sigurnosnih incidenata u vezi s ranjivošću. Međutim, nije jasno što je još učinio da zatvori tu ranjivost, a s obzirom na zlonamjerni softver je prvi put poslan VirusTotalu 2016., čini se da je definitivno u divljini negdje.
Obratili smo se MediaTeku i Googleu za komentar i obavijestit ćemo vas kada dobijemo odgovor.
AŽURIRANJE: 2.12.2022. 12:45 EST OD ADAMA CONWAYA
Google odgovara
Google nam je dao sljedeću izjavu.
OEM partneri odmah su proveli mjere ublažavanja čim smo prijavili ključni kompromis. Krajnji korisnici bit će zaštićeni mjerama za ublažavanje rizika koje provode OEM partneri. Google je implementirao široko otkrivanje zlonamjernog softvera u Build Test Suiteu, koji skenira slike sustava. Google Play Protect također otkriva zlonamjerni softver. Nema naznaka da se ovaj zlonamjerni softver nalazi ili je bio u Trgovini Google Play. Kao i uvijek, savjetujemo korisnicima da osiguraju da koriste najnoviju verziju Androida.