დაზარალებულ კომპანიებს შორის არიან Samsung, LG და MediaTek.
Android სმარტფონის უსაფრთხოების გადამწყვეტი ასპექტი არის აპლიკაციის ხელმოწერის პროცესი. ეს არსებითად არის იმის გარანტია, რომ ნებისმიერი აპლიკაციის განახლება მოდის ორიგინალური დეველოპერისგან, რადგან აპლიკაციების ხელმოწერისთვის გამოყენებული გასაღები ყოველთვის უნდა იყოს კონფიდენციალური. ამ პლატფორმის სერთიფიკატების რიგმა, როგორიცაა Samsung, MediaTek, LG და Revoview, როგორც ჩანს, გაჟონა და კიდევ უფრო უარესი, გამოყენებული იქნა მავნე პროგრამების ხელმოწერისთვის. ეს გამჟღავნდა Android Partner Vulnerability Initiative-ის (APVI) მეშვეობით და ეხება მხოლოდ აპების განახლებებს და არა OTA-ებს.
ხელმოწერის გასაღებების გაჟონვისას, თავდამსხმელს, თეორიულად, შეუძლია ხელი მოაწეროს მავნე აპლიკაციას ხელმოწერის გასაღებით და გაავრცელოს ის, როგორც "განახლება" აპისთვის ვინმეს ტელეფონზე. ყველაფერი, რაც ადამიანს უნდა გაეკეთებინა, იყო მესამე მხარის საიტიდან განახლების გვერდით ჩატვირთვა, რაც ენთუზიასტებისთვის საკმაოდ გავრცელებული გამოცდილებაა. ამ შემთხვევაში, მომხმარებელი გაუცნობიერებლად მისცემს Android ოპერაციულ სისტემას მავნე პროგრამაზე წვდომის დონეზე, რადგან ამ მავნე აპებს შეუძლიათ გამოიყენონ Android-ის საერთო UID და ინტერფეისი "android" სისტემასთან პროცესი.
"პლატფორმის სერთიფიკატი არის განაცხადის ხელმოწერის სერტიფიკატი, რომელიც გამოიყენება "android" აპლიკაციის ხელმოწერისთვის სისტემის სურათზე. "android" აპლიკაცია მუშაობს უაღრესად პრივილეგირებული მომხმარებლის ID-ით - android.uid.system - და ფლობს სისტემის ნებართვებს, მათ შორის მომხმარებლის მონაცემებზე წვდომის ნებართვებს. ნებისმიერ სხვა აპლიკაციას, რომელსაც ხელმოწერილი აქვს იგივე სერტიფიკატი, შეუძლია განაცხადოს, რომ მას სურს გაშვება იმავე მომხმარებელთან id, რაც მას იგივე დონის წვდომას აძლევს Android ოპერაციულ სისტემაზე, ”- განმარტავს რეპორტიორი APVI-ზე. ეს სერთიფიკატები სპეციფიკურია გამყიდველისთვის, რადგან Samsung მოწყობილობის სერტიფიკატი განსხვავდება LG მოწყობილობის სერთიფიკატისგან, მაშინაც კი, თუ ისინი გამოიყენება "android" აპლიკაციაზე ხელმოწერისთვის.
მავნე პროგრამების ეს ნიმუშები აღმოაჩინა ლუკაზ სიევიერსკიმ, გუგლის საპირისპირო ინჟინერმა. Siewierski-მ გააზიარა SHA256 ჰეშები მავნე პროგრამის თითოეული ნიმუშისა და მათი ხელმოწერის სერთიფიკატების შესახებ და ჩვენ შევძელით ამ ნიმუშების ნახვა VirusTotal-ზე. უცნობია, სად იქნა ნაპოვნი ეს ნიმუშები და იყო თუ არა ისინი ადრე გავრცელებული Google Play Store-ზე, APK გაზიარების საიტებზე, როგორიცაა APKMirror, თუ სხვაგან. ამ პლატფორმის სერთიფიკატებით ხელმოწერილი მავნე პროგრამის პაკეტის სახელების სია ქვემოთ მოცემულია. განახლება: Google ამბობს, რომ ეს მავნე პროგრამა არ იქნა აღმოჩენილი Google Play Store-ზე.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. ძიება
- com.android.power
- com.მართვა.პროპაგანდა
- com.sec.android.musicplayer
- com.houla.სწრაფი
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
მოხსენებაში ნათქვამია, რომ „ყველა დაზარალებული მხარე ინფორმირებული იყო აღმოჩენების შესახებ და მიიღო აღდგენითი ზომები. მომხმარებლის გავლენის შესამცირებლად." თუმცა, ყოველ შემთხვევაში, Samsung-ის შემთხვევაში, როგორც ჩანს, ეს სერთიფიკატები ჯერ კიდევ არსებობს გამოყენება. ძიება APKMirror-ზე მისი გაჟონილი სერთიფიკატის გამო გვიჩვენებს განახლებები დღესაც, რომლებიც ნაწილდება ამ გაჟონილი ხელმოწერის გასაღებებით.
შემაშფოთებელია, რომ მავნე პროგრამის ერთ-ერთი ნიმუში, რომელიც ხელმოწერილი იყო Samsung-ის სერთიფიკატთან, პირველად იქნა წარდგენილი 2016 წელს. გაურკვეველია, იყო თუ არა Samsung-ის სერთიფიკატები მავნე ხელში ექვსი წლის განმავლობაში. ამ დროისთვის კიდევ უფრო ნაკლებად ნათელია როგორ ეს სერთიფიკატები გავრცელდა ველურ ბუნებაში და თუ ამის შედეგად უკვე იყო რაიმე ზიანი. ხალხი მუდმივად ატვირთავს აპების განახლებებს და ეყრდნობა სერთიფიკატის ხელმოწერის სისტემას, რათა უზრუნველყოს, რომ ეს აპის განახლებები ლეგიტიმურია.
რაც შეეხება კომპანიებს, რისი გაკეთება შეუძლიათ, საუკეთესო გზაა გასაღების როტაცია. Android-ის APK Signing Scheme v3 მხარს უჭერს გასაღების ბრუნვასდა დეველოპერებს შეუძლიათ განაახლონ ხელმოწერის სქემიდან v2-დან v3-მდე.
APVI-ზე მომხსენებლის მიერ შეთავაზებული ქმედება არის ის, რომ „ყველა დაზარალებულმა მხარემ უნდა მოაბრუნოს პლატფორმის სერტიფიკატი საჯარო და კერძო გასაღებების ახალი ნაკრებით ჩანაცვლებით. გარდა ამისა, მათ უნდა ჩაატარონ შიდა გამოძიება, რათა დადგინდეს პრობლემის ძირეული მიზეზი და მიიღონ ზომები ინციდენტის თავიდან ასაცილებლად მომავალში“.
„ჩვენ ასევე მკაცრად გირჩევთ მინიმუმამდე დაიყვანოთ პლატფორმის სერტიფიკატით ხელმოწერილი განაცხადების რაოდენობა, როგორც ეს მოხდება მნიშვნელოვნად შეამცირებს მბრუნავი პლატფორმის გასაღებების ღირებულებას, თუ მსგავსი ინციდენტი მოხდება მომავალში ასკვნის.
როდესაც ჩვენ მივმართეთ სამსუნგს, კომპანიის სპიკერმა მოგვცა შემდეგი პასუხი.
Samsung სერიოზულად ეკიდება Galaxy მოწყობილობების უსაფრთხოებას. ჩვენ გამოვუშვით უსაფრთხოების პატჩები 2016 წლიდან ამ საკითხის შესახებ ინფორმაციის მიღების შემდეგ და არ ყოფილა ცნობილი უსაფრთხოების ინციდენტები ამ პოტენციურ დაუცველობასთან დაკავშირებით. ჩვენ ყოველთვის ვურჩევთ მომხმარებლებს, განაახლონ თავიანთი მოწყობილობები პროგრამული უზრუნველყოფის უახლესი განახლებებით.
ზემოაღნიშნული პასუხი, როგორც ჩანს, ადასტურებს, რომ კომპანიამ იცოდა ამ გაჟონილი სერტიფიკატის შესახებ 2016 წლიდან, თუმცა იგი აცხადებს, რომ არ ყოფილა ცნობილი უსაფრთხოების ინციდენტები დაუცველობასთან დაკავშირებით. თუმცა, გაუგებარია კიდევ რა გააკეთა მან ამ დაუცველობის დახურვისთვის და იმის გათვალისწინებით, რომ მავნე პროგრამა პირველად იქნა წარდგენილი VirusTotal-ში 2016 წელს, როგორც ჩანს, ის ნამდვილად არის ველურში სადღაც.
კომენტარისთვის ჩვენ მივმართეთ MediaTek-სა და Google-ს და შეგატყობინებთ, როცა პასუხს გავიგებთ.
განახლება: 2022/12/02 12:45 EST BY ADAM CONWAY
Google პასუხობს
Google-მა მოგვაწოდა შემდეგი განცხადება.
OEM პარტნიორებმა დაუყონებლივ განახორციელეს შემარბილებელი ღონისძიებები, როგორც კი შევატყობინეთ ძირითადი კომპრომისის შესახებ. საბოლოო მომხმარებლები დაცულნი იქნებიან OEM პარტნიორების მიერ განხორციელებული მომხმარებლის შემცირებით. Google-მა დანერგა მავნე პროგრამის ფართო გამოვლენა Build Test Suite-ში, რომელიც ასკანირებს სისტემის სურათებს. Google Play Protect ასევე აღმოაჩენს მავნე პროგრამას. არ არსებობს მითითება, რომ ეს მავნე პროგრამა არის ან იყო Google Play Store-ში. როგორც ყოველთვის, ჩვენ მომხმარებლებს ვურჩევთ, უზრუნველყონ Android-ის უახლესი ვერსია.