A Samsung, az LG és a MediaTek az érintett vállalatok közé tartoznak.
Az Android okostelefon biztonságának döntő szempontja az alkalmazás-aláírási folyamat. Ez alapvetően egy módja annak, hogy garantáljuk, hogy az alkalmazásfrissítések az eredeti fejlesztőtől érkezzenek, mivel az alkalmazások aláírásához használt kulcsot mindig titokban kell tartani. Úgy tűnik, számos platformtanúsítvány – például a Samsung, a MediaTek, az LG és a Revoview – kiszivárgott, és ami még rosszabb, rosszindulatú programok aláírására használtak. Ezt az Android Partner Vulnerability Initiative (APVI) keretében hozták nyilvánosságra, és csak az alkalmazásfrissítésekre vonatkozik, az OTA-kra nem.
Amikor az aláíró kulcsok kiszivárognak, a támadó elméletileg aláírhat egy rosszindulatú alkalmazást aláíró kulccsal, és egy alkalmazás „frissítéseként” terjesztheti azt valaki telefonján. Egy személynek csak egy frissítést kell feltöltenie egy harmadik fél webhelyéről, ami a rajongók számára meglehetősen gyakori élmény. Ebben az esetben a felhasználó tudtán kívül hozzáférést biztosít az Android operációs rendszernek a rosszindulatú programokhoz, mivel ezek a rosszindulatú alkalmazások kihasználhatják az Android megosztott felhasználói azonosítóját és interfészét az „android” rendszerrel folyamat.
"A platformtanúsítvány az alkalmazás-aláíró tanúsítvány, amelyet az "android" alkalmazás aláírására használnak a rendszerképen. Az "android" alkalmazás egy kiemelten kiváltságos felhasználói azonosítóval - android.uid.system - fut, és rendelkezik rendszerengedélyekkel, beleértve a felhasználói adatokhoz való hozzáférést is. Bármely más, ugyanazzal a tanúsítvánnyal aláírt alkalmazás kijelentheti, hogy ugyanazzal a felhasználóval akar futni id, amely ugyanolyan szintű hozzáférést biztosít az Android operációs rendszerhez" - magyarázza az APVI riportere. Ezek a tanúsítványok gyártó-specifikusak, mivel a Samsung készülék tanúsítványa eltér az LG készülék tanúsítványától, még akkor is, ha az „android” alkalmazás aláírására szolgál.
Ezeket a kártevő-mintákat Łukasz Siewierski, a Google visszafejtő mérnöke fedezte fel. Siewierski megosztotta az SHA256 kivonatokat az egyes rosszindulatú programok mintáiról és aláírási tanúsítványairól, és meg tudtuk tekinteni ezeket a mintákat a VirusTotalon. Nem világos, hogy hol találták ezeket a mintákat, és hogy korábban a Google Play Áruházban, az APK-megosztó webhelyeken, például az APKMirror-ban vagy máshol terjesztették-e őket. Az alábbi platformtanúsítványokkal aláírt rosszindulatú programok csomagneveinek listája található. Frissítés: A Google azt állítja, hogy ezt a rosszindulatú programot nem észlelték a Google Play Áruházban.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Keresés
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
A jelentésben az áll, hogy „Minden érintett felet tájékoztattak a megállapításokról, és meghozták a kárelhárítási intézkedéseket minimálisra csökkenteni a felhasználói hatást." Azonban legalábbis a Samsung esetében úgy tűnik, hogy ezek a tanúsítványok még mindig megvannak használat. Keresés az APKMirror-on kiszivárgott tanúsítványa azt mutatja, hogy a mai frissítéseket ezekkel a kiszivárgott aláíró kulcsokkal terjesztik.
Aggodalomra ad okot, hogy a Samsung tanúsítvánnyal aláírt rosszindulatú programok egyik mintáját 2016-ban nyújtották be először. Nem világos, hogy a Samsung tanúsítványai ezért hat éve rosszindulatú kezekbe kerültek-e. Jelenleg még kevésbé egyértelmű hogyan ezeket az igazolásokat a vadonban terjesztették, és ha már történt bármilyen kár ennek következtében. Az emberek folyamatosan töltik be az alkalmazásfrissítéseket, és a tanúsítvány-aláíró rendszerre hagyatkoznak annak biztosítására, hogy az alkalmazásfrissítések jogszerűek legyenek.
Ami azt illeti, hogy a vállalatok mit tehetnek, a legjobb út a kulcsrotáció. Az Android APK Signing Scheme v3 natív módon támogatja a kulcsok elforgatását, és a fejlesztők a Signing Scheme v2-ről v3-ra frissíthetnek.
A riporter által az APVI-vel kapcsolatban javasolt intézkedés az, hogy "Minden érintett félnek el kell cserélnie a platformtanúsítványt úgy, hogy új nyilvános és privát kulcsokra cseréli. Ezenkívül belső vizsgálatot kell végezniük, hogy megtalálják a probléma kiváltó okát, és lépéseket kell tenniük annak érdekében, hogy megakadályozzák az incidens jövőbeni előfordulását."
"Határozottan javasoljuk a platformtanúsítvánnyal aláírt alkalmazások számának minimalizálását is, ahogyan az lesz jelentősen csökkenti a platformkulcsok forgatásának költségeit, ha a jövőben hasonló incidens történik." arra a következtetésre jut.
Amikor megkerestük a Samsungot, a következő választ kaptuk a cég szóvivőjétől.
A Samsung komolyan veszi a Galaxy készülékek biztonságát. 2016 óta adtunk ki biztonsági javításokat, miután tudomást szereztünk a problémáról, és nem volt ismert biztonsági incidens ezzel a potenciális sérülékenységgel kapcsolatban. Mindig azt javasoljuk, hogy a felhasználók tartsák naprakészen eszközeiket a legújabb szoftverfrissítésekkel.
A fenti válasz megerősíteni látszik, hogy a vállalat 2016 óta tudott erről a kiszivárgott tanúsítványról, bár azt állítja, hogy nem volt ismert biztonsági incidens a sérülékenységgel kapcsolatban. Nem világos azonban, hogy mit tett még a sérülékenység bezárása érdekében, és tekintettel arra, hogy a rosszindulatú program 2016-ban nyújtották be először a VirusTotalnak, úgy tűnik, hogy biztosan kint van a vadonban valahol.
Megkerestük a MediaTeket és a Google-t véleményért, és tájékoztatjuk, ha visszajelzést kapunk.
FRISSÍTÉS: 2022/12/02 12:45 EST, ADAM CONWAY
A Google válaszol
A Google a következő nyilatkozatot adta nekünk.
Az OEM-partnerek azonnal végrehajtották a mérséklő intézkedéseket, amint jelentettük a kulcsfontosságú kompromisszumot. A végfelhasználókat az OEM-partnerek által bevezetett felhasználói korlátozások védik. A Google széles körben észlelte a rosszindulatú programokat a Build Test Suite csomagban, amely rendszerképeket vizsgál. A Google Play Protect is észleli a kártevőt. Nincs arra utaló jel, hogy ez a rosszindulatú program a Google Play Áruházban van vagy volt. Mint mindig, most is azt tanácsoljuk a felhasználóknak, hogy bizonyosodjanak meg arról, hogy az Android legújabb verzióját futtatják.