Android OEM キーの漏洩は、サイドロードされた「アップデート」が深刻なマルウェアを隠している可能性を意味します

影響を受ける企業にはサムスン、LG、メディアテックなどが含まれる。

Android スマートフォンのセキュリティの重要な側面は、アプリケーションの署名プロセスです。 アプリケーションの署名に使用されるキーは常に非公開にしておく必要があるため、これは基本的に、アプリケーションの更新が元の開発者から提供されていることを保証する方法です。 Samsung、MediaTek、LG、Revoview などのプラットフォーム証明書の多くが漏洩し、さらに悪いことにマルウェアの署名に使用されたようです。 これは Android Partner Vulnerability Initiative (APVI) を通じて公開されたもので、アプリの更新にのみ適用され、OTA には適用されません。

署名キーが漏洩すると、理論上、攻撃者は署名キーを使用して悪意のあるアプリに署名し、それを誰かの携帯電話上のアプリの「アップデート」として配布する可能性があります。 ユーザーが行う必要があるのは、サードパーティのサイトからアップデートをサイドロードすることだけですが、これは愛好家にとってはかなり一般的な経験です。 その場合、ユーザーは無意識のうちに Android オペレーティング システム レベルのマルウェアへのアクセスを許可していることになります。 これらの悪意のあるアプリは Android の共有 UID を利用し、「android」システムとのインターフェースを利用できるためです。 プロセス。

「プラットフォーム証明書は、システム イメージ上の「android」アプリケーションに署名するために使用されるアプリケーション署名証明書です。 「android」アプリケーションは、高度な特権を持つユーザー ID (android.uid.system) で実行され、ユーザー データにアクセスする権限を含むシステム権限を保持します。 同じ証明書で署名された他のアプリケーションは、同じユーザーで実行することを宣言できます。 ID を使用すると、Android オペレーティング システムへの同じレベルのアクセスが可能になります」と APVI のレポーターは説明します。 これらの証明書はベンダー固有であり、たとえ「android」アプリケーションの署名に使用されていたとしても、Samsung デバイス上の証明書は LG デバイス上の証明書とは異なります。

これらのマルウェア サンプルは、Google のリバース エンジニアである Łukasz Siewierski によって発見されました。 Siewierski は、各マルウェア サンプルの SHA256 ハッシュとその署名証明書を共有し、それらのサンプルを VirusTotal で表示することができました。 これらのサンプルがどこで見つかったのか、また以前に Google Play ストア、APKMirror などの APK 共有サイト、またはその他の場所で配布されていたのかは明らかではありません。 これらのプラットフォーム証明書で署名されたマルウェアのパッケージ名のリストは以下のとおりです。 更新: Google は、このマルウェアは Google Play ストアでは検出されなかったと述べています。

  • com.vantage.electronic.cornmuni
  • com.russian.signato.renewis
  • com.sledsdffsjkh。 検索
  • com.android.power
  • com.management.プロパガンダ
  • com.sec.android.musicplayer
  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage

報告書では「影響を受けるすべての関係者は調査結果を知らされ、是正措置を講じた」と述べられている。 ユーザーへの影響を最小限に抑えるためです。」 しかし、少なくともサムスンの場合、これらの証明書はまだ存在しているようです。 使用。 APKMirrorで検索しています 漏洩した証明書には、今日でもこれらの漏洩した署名キーとともに配布されている更新が示されているためです。

心配なのは、Samsung の証明書で署名されたマルウェア サンプルの 1 つが 2016 年に初めて送信されたことです。 したがって、サムスンの証明書が6年間も悪意のある手に渡っていたかどうかは不明だ。 現時点ではさらに明確ではありませんが、 どうやって これらの証明書は実際に流通しており、その結果としてすでに損害が発生しているかどうかを確認します。 ユーザーは常にアプリの更新をサイドロードし、証明書署名システムを利用して、それらのアプリの更新が正当なものであることを確認します。

企業ができることについて言えば、鍵のローテーションが最善の方法です。 Android の APK 署名スキーム v3 はキーのローテーションをネイティブにサポートします、開発者は署名スキーム v2 から v3 にアップグレードできます。

APVI について記者が提案したアクションは、「影響を受けるすべての関係者は、プラットフォーム証明書を新しい公開鍵と秘密鍵のセットに置き換えてローテーションする必要があります。 さらに、内部調査を実施して問題の根本原因を特定し、今後の事件の発生を防ぐための措置を講じるべきです。」

「また、プラットフォーム証明書で署名されたアプリケーションの数を最小限に抑えることを強くお勧めします。 将来同様のインシデントが発生した場合でも、プラットフォーム キーのローテーションにかかるコストが大幅に削減されます。」 と結論づけます。

サムスンに問い合わせたところ、同社の広報担当者から次のような回答が得られた。

Samsung は Galaxy デバイスのセキュリティを真剣に考えています。 この問題を認識して 2016 年からセキュリティ パッチを発行してきましたが、この潜在的な脆弱性に関する既知のセキュリティ インシデントは発生していません。 最新のソフトウェア アップデートを適用してデバイスを最新の状態に保つことを常にお勧めします。

上記の回答は、同社がこの漏洩した証明書について 2016 年から知っていたことを裏付けるものと思われますが、この脆弱性に関する既知のセキュリティ インシデントは存在していないと主張しています。 ただし、この脆弱性を解決するために他に何を行ったかは明らかではありません。また、マルウェアが 初めて VirusTotal に提出されたのは 2016 年で、間違いなく世に出たようです。 どこかで。

MediaTek と Google にコメントを求めており、返答があり次第、最新情報をお知らせします。

更新: 2022/12/02 12:45 EST、アダム・コンウェイ

Googleが反応する

Google は次の声明を発表しました。

OEM パートナーは、主要な侵害を報告するとすぐに緩和策を即座に実施しました。 エンド ユーザーは、OEM パートナーによって実装されるユーザー軽減策によって保護されます。 Google は、システム イメージをスキャンする Build Test Suite にマルウェアの広範な検出を実装しました。 Google Play プロテクトもマルウェアを検出します。 このマルウェアが Google Play ストアに存在する、または存在していたという兆候はありません。 いつものように、最新バージョンの Android を実行していることを確認するようユーザーにアドバイスします。