Samsung, LG e MediaTek sono tra le società interessate.
Un aspetto cruciale della sicurezza degli smartphone Android è il processo di firma dell'applicazione. È essenzialmente un modo per garantire che tutti gli aggiornamenti delle app provengano dallo sviluppatore originale, poiché la chiave utilizzata per firmare le applicazioni dovrebbe essere sempre mantenuta privata. Alcuni di questi certificati di piattaforma di Samsung, MediaTek, LG e Revoview sembrano essere trapelati e, peggio ancora, sono stati utilizzati per firmare malware. Questo è stato divulgato tramite l'Android Partner Vulnerability Initiative (APVI) e si applica solo agli aggiornamenti delle app, non alle OTA.
Durante la perdita di chiavi di firma, un utente malintenzionato potrebbe, in teoria, firmare un'app dannosa con una chiave di firma e distribuirla come "aggiornamento" a un'app sul telefono di qualcuno. Tutto ciò che una persona avrebbe dovuto fare era trasferire un aggiornamento da un sito di terze parti, che per gli appassionati è un'esperienza abbastanza comune. In tal caso, l'utente darebbe inconsapevolmente accesso al malware a livello di sistema operativo Android, poiché queste app dannose possono utilizzare l'UID condiviso di Android e l'interfaccia con il sistema "android". processi.
"Un certificato di piattaforma è il certificato di firma dell'applicazione utilizzato per firmare l'applicazione "Android" sull'immagine di sistema. L'applicazione "Android" viene eseguita con un ID utente con privilegi elevati - android.uid.system - e detiene le autorizzazioni di sistema, incluse le autorizzazioni per accedere ai dati dell'utente. Qualsiasi altra applicazione firmata con lo stesso certificato può dichiarare di voler essere eseguita con lo stesso utente id, dandogli lo stesso livello di accesso al sistema operativo Android", spiega il giornalista dell'APVI. Questi certificati sono specifici del fornitore, in quanto il certificato su un dispositivo Samsung sarà diverso dal certificato su un dispositivo LG, anche se vengono utilizzati per firmare l'applicazione "Android".
Questi campioni di malware sono stati scoperti da Łukasz Siewierski, un reverse engineer di Google. Siewierski ha condiviso gli hash SHA256 di ciascuno dei campioni di malware e dei relativi certificati di firma e siamo stati in grado di visualizzare tali campioni su VirusTotal. Non è chiaro dove siano stati trovati quei campioni e se siano stati precedentemente distribuiti su Google Play Store, siti di condivisione di APK come APKMirror o altrove. Di seguito è riportato l'elenco dei nomi dei pacchetti di malware firmati con questi certificati di piattaforma. Aggiornamento: Google afferma che questo malware non è stato rilevato sul Google Play Store.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Ricerca
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
Nel rapporto si afferma che "tutte le parti interessate sono state informate dei risultati e hanno adottato misure correttive per ridurre al minimo l'impatto sull'utente." Tuttavia, almeno nel caso di Samsung, sembra che questi certificati siano ancora disponibili utilizzo. Ricerca su APKMirror perché il suo certificato trapelato mostra gli aggiornamenti anche oggi distribuiti con queste chiavi di firma trapelate.
È preoccupante che uno dei campioni di malware firmato con il certificato Samsung sia stato inviato per la prima volta nel 2016. Non è chiaro se i certificati di Samsung siano quindi in mani maligne da sei anni. Ancora meno chiaro in questo momento è Come questi certificati sono stati diffusi in natura e se di conseguenza si è già verificato un danno. Le persone scaricano continuamente gli aggiornamenti delle app e si affidano al sistema di firma dei certificati per garantire che tali aggiornamenti delle app siano legittimi.
Per quanto riguarda ciò che le aziende possono fare, il modo migliore per andare avanti è una rotazione delle chiavi. L'APK Signing Scheme v3 di Android supporta la rotazione delle chiavi in modo nativoe gli sviluppatori possono eseguire l'aggiornamento da Signing Scheme v2 a v3.
L'azione suggerita dal giornalista sull'APVI è che "Tutte le parti interessate dovrebbero ruotare il certificato della piattaforma sostituendolo con un nuovo set di chiavi pubbliche e private. Inoltre, dovrebbero condurre un'indagine interna per trovare la causa principale del problema e adottare misure per evitare che l'incidente si ripeta in futuro".
"Raccomandiamo inoltre vivamente di ridurre al minimo il numero di applicazioni firmate con il certificato della piattaforma, come accadrà ridurre significativamente il costo della rotazione delle chiavi della piattaforma nel caso in cui si verificasse un incidente simile in futuro", it conclude.
Quando abbiamo contattato Samsung, abbiamo ricevuto la seguente risposta da un portavoce dell'azienda.
Samsung prende sul serio la sicurezza dei dispositivi Galaxy. Abbiamo emesso patch di sicurezza dal 2016 dopo essere stati informati del problema e non si sono verificati incidenti di sicurezza noti relativi a questa potenziale vulnerabilità. Consigliamo sempre agli utenti di mantenere aggiornati i propri dispositivi con gli ultimi aggiornamenti software.
La risposta di cui sopra sembra confermare che la società è a conoscenza di questo certificato trapelato dal 2016, sebbene affermi che non si sono verificati incidenti di sicurezza noti relativi alla vulnerabilità. Tuttavia, non è chiaro cos'altro abbia fatto per chiudere quella vulnerabilità e dato che il malware è stato presentato per la prima volta a VirusTotal nel 2016, sembrerebbe che sia decisamente in circolazione in qualche luogo.
Abbiamo contattato MediaTek e Google per un commento e ti aggiorneremo quando avremo notizie.
AGGIORNAMENTO: 02/12/2022 12:45 EST DI ADAM CONWAY
Google risponde
Google ci ha fornito la seguente dichiarazione.
I partner OEM hanno prontamente implementato misure di mitigazione non appena abbiamo segnalato il compromesso chiave. Gli utenti finali saranno protetti dalle mitigazioni degli utenti implementate dai partner OEM. Google ha implementato ampi rilevamenti per il malware in Build Test Suite, che esegue la scansione delle immagini di sistema. Google Play Protect rileva anche il malware. Non vi è alcuna indicazione che questo malware sia o fosse presente nel Google Play Store. Come sempre, consigliamo agli utenti di assicurarsi di utilizzare l'ultima versione di Android.