דליפת מפתח OEM של אנדרואיד פירושה ש"עדכונים" נטענים יכולים להסתיר תוכנות זדוניות רציניות

ניידJul 20, 2023
click fraud protection

סמסונג, LG ו-MediaTek הן בין החברות שנפגעו.

היבט מכריע באבטחת סמארטפון אנדרואיד הוא תהליך החתימה על יישומים. זוהי בעצם דרך להבטיח שכל עדכוני האפליקציה מגיעים מהמפתח המקורי, שכן המפתח המשמש לחתימה על יישומים צריך תמיד להישמר פרטי. נראה כי מספר מתעודות הפלטפורמה הללו של סמסונג, MediaTek, LG ו-Revoview דלפו, וחמור מכך, שימשו לחתימה על תוכנות זדוניות. זה נחשף באמצעות יוזמת ה-Android Partner Vulnerability Initiative (APVI) והוא חל רק על עדכוני אפליקציות, לא OTAs.

בעת דליפת מפתחות חתימה, תוקף יכול, בתיאוריה, לחתום על אפליקציה זדונית עם מפתח חתימה ולהפיץ אותה כ"עדכון" לאפליקציה בטלפון של מישהו. כל מה שאדם היה צריך לעשות זה להעמיס עדכון מאתר של צד שלישי, וזו חוויה נפוצה למדי עבור חובבים. במקרה זה, המשתמש ייתן ללא מודע גישה למערכת ההפעלה אנדרואיד לתוכנות זדוניות, מכיוון שאפליקציות זדוניות אלו יכולות לעשות שימוש ב-UID המשותף של אנדרואיד ולהתממשק עם מערכת "אנדרואיד". תהליך.

"אישור פלטפורמה הוא אישור החתימה על האפליקציה המשמש לחתימה על יישום "אנדרואיד" בתמונת המערכת. אפליקציית "אנדרואיד" פועלת עם מזהה משתמש בעל זכויות יתר - android.uid.system - ומחזיקה בהרשאות מערכת, כולל הרשאות גישה לנתוני משתמש. כל אפליקציה אחרת החתומה עם אותו אישור יכולה להצהיר שהיא רוצה לפעול עם אותו משתמש id, נותן לו את אותה רמת גישה למערכת ההפעלה אנדרואיד", מסביר הכתב ב-APVI. אישורים אלו הינם ספציפיים לספק, בכך שהתעודה במכשיר סמסונג תהיה שונה מהאישור במכשיר LG, גם אם הם משמשים לחתימה על אפליקציית "אנדרואיד".

דגימות תוכנות זדוניות אלו התגלו על ידי Łukasz Siewierski, מהנדס לאחור בגוגל. Siewierski שיתף Hash SHA256 של כל אחת מדגימות התוכנות הזדוניות ותעודות החתימה שלהן, והצלחנו לראות את הדוגמאות הללו ב- VirusTotal. לא ברור היכן נמצאו דגימות אלו, והאם הן הופצו בעבר בחנות Google Play, באתרי שיתוף APK כגון APKMirror או במקומות אחרים. רשימת שמות החבילות של תוכנות זדוניות שנחתמו עם אישורי פלטפורמה אלה נמצאת למטה. עדכון: גוגל אומרת שתוכנה זדונית זו לא זוהתה בחנות Google Play.

  • com.vantage.lectronic.cornmuni
  • com.russian.signato.renewis
  • com.sledsdffsjkh. לחפש
  • com.android.power
  • com.management.propaganda
  • com.sec.android.musicplayer
  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage

בדו"ח נכתב כי "כל הצדדים שנפגעו עודכנו על הממצאים ונקטו באמצעי תיקון כדי למזער את השפעת המשתמש." עם זאת, לפחות במקרה של סמסונג, נראה שהתעודות הללו עדיין נמצאות. להשתמש. מחפש ב-APKMirror שכן התעודה שדלפה מציגה עדכונים מהיום שהופצו עם מפתחות החתימה שדלפו.

באופן מדאיג, אחת מדגימות התוכנה הזדוניות שנחתמה עם האישור של סמסונג הוגשה לראשונה ב-2016. לא ברור אם התעודות של סמסונג היו בשל כך בידיים זדוניות במשך שש שנים. אפילו פחות ברור בנקודת הזמן הזו אֵיך תעודות אלו הופצו בטבע ואם כבר נגרם נזק כלשהו כתוצאה מכך. אנשים מעמיסים כל הזמן עדכוני אפליקציה ומסתמכים על מערכת החתימה על האישורים כדי להבטיח שעדכוני האפליקציה האלה לגיטימיים.

לגבי מה שחברות יכולות לעשות, הדרך הטובה ביותר קדימה היא סיבוב מפתח. תוכנית החתימה APK v3 של אנדרואיד תומכת בסיבוב מפתח באופן מקורי, ומפתחים יכולים לשדרג מ-Siging Scheme v2 ל-v3.

הפעולה המוצעת על ידי הכתב ב-APVI היא ש"כל הצדדים המושפעים צריכים לסובב את אישור הפלטפורמה על ידי החלפתו בסט חדש של מפתחות ציבוריים ופרטיים. בנוסף, עליהם לערוך חקירה פנימית כדי למצוא את שורש הבעיה ולנקוט בצעדים כדי למנוע מהאירוע להתרחש בעתיד".

"כמו כן אנו ממליצים בחום לצמצם את מספר היישומים החתומים עם תעודת הפלטפורמה, כפי שיהיה להוזיל משמעותית את העלות של סיבוב מפתחות פלטפורמה אם תקרית דומה תתרחש בעתיד". מסכם.

כשהגענו לסמסונג, קיבלנו את התגובה הבאה על ידי דובר החברה.

סמסונג מתייחסת ברצינות לאבטחת מכשירי גלקסי. הוצאנו תיקוני אבטחה מאז 2016 לאחר שנודע לנו על הבעיה, ולא היו אירועי אבטחה ידועים בנוגע לפגיעות פוטנציאלית זו. אנו תמיד ממליצים למשתמשים לעדכן את המכשירים שלהם עם עדכוני התוכנה האחרונים.

נראה שהתגובה לעיל מאשרת שהחברה ידעה על התעודה שדלפה מאז 2016, אם כי לטענתה לא היו אירועי אבטחה ידועים בנוגע לפגיעות. עם זאת, לא ברור מה עוד היא עשתה כדי לסגור את הפגיעות הזו, ובהתחשב בכך שהתוכנה הזדונית הוגש לראשונה ל-VirusTotal בשנת 2016, נראה שהוא בהחלט נמצא בטבע אי שם.

פנינו ל-MediaTek ו-Google להערות ונעדכן אותך כשנשמע.

עדכון: 2022/12/02 12:45 EST מאת ADAM CONWAY

גוגל מגיבה

גוגל נתנה לנו את ההצהרה הבאה.

שותפי OEM יישמו מיד צעדי הפחתה ברגע שדיווחנו על הפשרה העיקרית. משתמשי קצה יהיו מוגנים על ידי מתן אמצעים למשתמשים שייושמו על ידי שותפי OEM. גוגל הטמיעה זיהוי רחב עבור תוכנת הזדונית ב-Build Test Suite, אשר סורקת תמונות מערכת. Google Play Protect מזהה גם את התוכנה הזדונית. אין שום אינדיקציה לכך שהתוכנה הזדונית הזו נמצאת או הייתה בחנות Google Play. כמו תמיד, אנו ממליצים למשתמשים לוודא שהם מריצים את הגרסה העדכנית ביותר של אנדרואיד.