Samsung, LG, dan MediaTek adalah beberapa perusahaan yang terpengaruh.
Aspek penting dari keamanan smartphone Android adalah proses penandatanganan aplikasi. Ini pada dasarnya adalah cara untuk menjamin bahwa pembaruan aplikasi apa pun berasal dari pengembang asli, karena kunci yang digunakan untuk menandatangani aplikasi harus selalu dirahasiakan. Sejumlah sertifikat platform seperti Samsung, MediaTek, LG, dan Revoview tampaknya telah bocor, dan lebih buruk lagi, telah digunakan untuk menandatangani malware. Hal ini diungkapkan melalui Android Partner Vulnerability Initiative (APVI) dan hanya berlaku untuk pembaruan aplikasi, bukan OTA.
Saat kunci penandatanganan bocor, secara teori, penyerang dapat menandatangani aplikasi berbahaya dengan kunci penandatanganan dan mendistribusikannya sebagai "pembaruan" ke aplikasi di ponsel seseorang. Yang perlu dilakukan seseorang hanyalah melakukan sideload pembaruan dari situs pihak ketiga, yang bagi para penggemar, merupakan pengalaman yang cukup umum. Dalam hal itu, pengguna tanpa sadar akan memberikan akses tingkat sistem operasi Android ke malware, karena aplikasi jahat ini dapat menggunakan UID bersama Android dan antarmuka dengan sistem "android". proses.
"Sertifikat platform adalah sertifikat penandatanganan aplikasi yang digunakan untuk menandatangani aplikasi "android" pada citra sistem. Aplikasi "android" berjalan dengan id pengguna yang sangat istimewa - android.uid.system - dan memegang izin sistem, termasuk izin untuk mengakses data pengguna. Aplikasi lain apa pun yang ditandatangani dengan sertifikat yang sama dapat mendeklarasikan bahwa ia ingin dijalankan dengan pengguna yang sama id, memberikan tingkat akses yang sama ke sistem operasi Android," jelas reporter di APVI. Sertifikat ini khusus untuk vendor, karena sertifikat pada perangkat Samsung akan berbeda dengan sertifikat pada perangkat LG, meskipun digunakan untuk menandatangani aplikasi "android".
Sampel malware ini ditemukan oleh Łukasz Siewierski, seorang reverse engineer di Google. Siewierski membagikan hash SHA256 dari setiap sampel malware dan sertifikat penandatanganannya, dan kami dapat melihat sampel tersebut di VirusTotal. Tidak jelas di mana sampel tersebut ditemukan, dan apakah sampel tersebut sebelumnya didistribusikan di Google Play Store, situs berbagi APK seperti APKMirror, atau di tempat lain. Daftar nama paket malware yang ditandatangani dengan sertifikat platform ini ada di bawah. Pembaruan: Google mengatakan bahwa malware ini tidak terdeteksi di Google Play Store.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Mencari
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fapx
- com.metasploit.stage
Dalam laporan tersebut, disebutkan bahwa "Semua pihak yang terkena dampak telah diberitahu tentang temuan tersebut dan telah mengambil langkah-langkah perbaikan untuk meminimalkan dampak pengguna." Namun, setidaknya dalam kasus Samsung, tampaknya sertifikat ini masih ada menggunakan. Mencari di APKMirror karena sertifikatnya yang bocor menunjukkan pembaruan dari hari ini bahkan didistribusikan dengan kunci penandatanganan yang bocor ini.
Yang mengkhawatirkan, salah satu sampel malware yang ditandatangani dengan sertifikat Samsung pertama kali dikirimkan pada tahun 2016. Tidak jelas apakah sertifikat Samsung telah berada di tangan jahat selama enam tahun. Bahkan kurang jelas pada titik waktu ini Bagaimana sertifikat ini telah beredar di alam liar dan jika telah terjadi kerusakan sebagai akibatnya. Orang-orang melakukan sideload pembaruan aplikasi setiap saat dan mengandalkan sistem penandatanganan sertifikat untuk memastikan bahwa pembaruan aplikasi tersebut sah.
Adapun apa yang dapat dilakukan perusahaan, cara terbaik untuk maju adalah rotasi kunci. Skema Penandatanganan APK Android v3 mendukung rotasi kunci secara native, dan pengembang dapat memutakhirkan dari Skema Penandatanganan v2 ke v3.
Tindakan yang disarankan yang diberikan oleh reporter di APVI adalah bahwa "Semua pihak yang terkena dampak harus merotasi sertifikat platform dengan menggantinya dengan satu set kunci publik dan pribadi yang baru. Selain itu, mereka harus melakukan penyelidikan internal untuk menemukan akar penyebab masalah dan mengambil langkah-langkah untuk mencegah insiden tersebut terjadi di masa mendatang."
"Kami juga sangat menyarankan untuk meminimalkan jumlah aplikasi yang ditandatangani dengan sertifikat platform, sebagaimana mestinya secara signifikan menurunkan biaya perputaran kunci platform jika kejadian serupa terjadi di masa depan," itu menyimpulkan.
Saat kami menghubungi Samsung, kami mendapat tanggapan berikut dari juru bicara perusahaan.
Samsung sangat memperhatikan keamanan perangkat Galaxy. Kami telah mengeluarkan tambalan keamanan sejak 2016 setelah mengetahui masalah ini, dan tidak ada insiden keamanan yang diketahui terkait potensi kerentanan ini. Kami selalu menyarankan agar pengguna selalu memperbarui perangkat mereka dengan pembaruan perangkat lunak terbaru.
Tanggapan di atas tampaknya mengkonfirmasi bahwa perusahaan telah mengetahui tentang sertifikat yang bocor ini sejak 2016, meskipun mengklaim tidak ada insiden keamanan yang diketahui terkait kerentanan tersebut. Namun, tidak jelas apa lagi yang telah dilakukan untuk menutup kerentanan itu, dan mengingat malware tersebut pertama kali dikirimkan ke VirusTotal pada tahun 2016, tampaknya virus ini benar-benar bebas di suatu tempat.
Kami telah menghubungi MediaTek dan Google untuk memberikan komentar dan akan mengabari Anda saat kami mendengarnya kembali.
PEMBARUAN: 02/12/2022 12:45 EST OLEH ADAM CONWAY
Google merespons
Google telah memberi kami pernyataan berikut.
Mitra OEM segera menerapkan tindakan mitigasi segera setelah kami melaporkan kompromi utama. Pengguna akhir akan dilindungi oleh mitigasi pengguna yang diterapkan oleh mitra OEM. Google telah menerapkan deteksi luas untuk malware di Build Test Suite, yang memindai citra sistem. Google Play Protect juga mendeteksi malware. Tidak ada indikasi bahwa malware ini ada atau ada di Google Play Store. Seperti biasa, kami menyarankan pengguna untuk memastikan mereka menjalankan Android versi terbaru.