삼성, LG 및 MediaTek은 영향을 받는 회사 중 하나입니다.
Android 스마트폰 보안의 중요한 측면은 애플리케이션 서명 프로세스입니다. 애플리케이션에 서명하는 데 사용되는 키는 항상 비공개로 유지되어야 하므로 기본적으로 모든 앱 업데이트가 원래 개발자로부터 제공된다는 것을 보장하는 방법입니다. Samsung, MediaTek, LG 및 Revoview와 같은 플랫폼 인증서 중 다수가 유출된 것으로 보이며 더 나쁜 것은 멀웨어 서명에 사용된 것입니다. 이는 APVI(Android Partner Vulnerability Initiative)를 통해 공개되었으며 OTA가 아닌 앱 업데이트에만 적용됩니다.
서명 키가 유출되면 이론적으로 공격자는 서명 키를 사용하여 악성 앱에 서명하고 누군가의 전화에 있는 앱에 "업데이트"로 배포할 수 있습니다. 사람이 해야 할 일은 제3자 사이트에서 업데이트를 사이드로드하는 것뿐이었습니다. 매니아에게는 상당히 일반적인 경험입니다. 이 경우 사용자는 자신도 모르게 Android 운영 체제 수준의 맬웨어 액세스 권한을 부여하게 됩니다. 이러한 악성 앱은 Android의 공유 UID 및 "android" 시스템과의 인터페이스를 사용할 수 있습니다. 프로세스.
"플랫폼 인증서는 시스템 이미지에서 "안드로이드" 애플리케이션에 서명하는 데 사용되는 애플리케이션 서명 인증서입니다. "안드로이드" 애플리케이션은 권한이 높은 사용자 ID(android.uid.system)로 실행되며 사용자 데이터 액세스 권한을 포함하여 시스템 권한을 보유합니다. 동일한 인증서로 서명된 다른 모든 애플리케이션은 동일한 사용자로 실행하기를 원한다고 선언할 수 있습니다. id, Android 운영 체제에 대한 동일한 수준의 액세스 권한을 제공합니다."라고 APVI의 기자는 설명합니다. 이러한 인증서는 "안드로이드" 애플리케이션에 서명하는 데 사용되는 경우에도 삼성 장치의 인증서가 LG 장치의 인증서와 다르다는 점에서 공급업체별로 다릅니다.
이러한 맬웨어 샘플은 Google의 리버스 엔지니어인 Łukasz Siewierski가 발견했습니다. Siewierski는 각 맬웨어 샘플의 SHA256 해시와 해당 서명 인증서를 공유했고 우리는 VirusTotal에서 해당 샘플을 볼 수 있었습니다. 이러한 샘플이 어디에서 발견되었는지, 이전에 Google Play 스토어, APKMirror와 같은 APK 공유 사이트 또는 다른 곳에서 배포되었는지 여부는 명확하지 않습니다. 이러한 플랫폼 인증서로 서명된 맬웨어의 패키지 이름 목록은 다음과 같습니다.
업데이트: Google은 이 맬웨어가 Google Play 스토어에서 감지되지 않았다고 말합니다.- com.vantage.ectronic.cornmuni
- com.russian.signato.rewis
- com.sledsdffsjkh. 찾다
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
보고서에는 "영향을 받는 모든 당사자에게 조사 결과를 알리고 개선 조치를 취했습니다. 하지만 적어도 삼성의 경우에는 이러한 인증서가 아직 사용. APKMirror에서 검색 유출된 인증서는 오늘날에도 이러한 유출된 서명 키와 함께 배포되는 업데이트를 보여줍니다.
걱정스럽게도 삼성의 인증서로 서명된 악성코드 샘플 중 하나가 2016년에 처음 제출되었습니다. 따라서 삼성의 인증서가 6년 동안 악의적인 손에 들어갔는지는 확실하지 않습니다. 이 시점에서 더 명확하지 않은 것은 어떻게 이러한 인증서는 야생에서 유포되었으며 그 결과 이미 피해가 발생한 경우. 사람들은 항상 앱 업데이트를 사이드로드하고 인증서 서명 시스템에 의존하여 해당 앱 업데이트가 합법적인지 확인합니다.
기업이 할 수 있는 최선의 방법은 키 순환입니다. Android의 APK 서명 체계 v3은 기본적으로 키 순환을 지원합니다., 개발자는 서명 체계 v2에서 v3으로 업그레이드할 수 있습니다.
APVI에서 기자가 제안한 조치는 "영향을 받는 모든 당사자는 플랫폼 인증서를 새로운 공개 및 개인 키 세트로 교체하여 교체해야 합니다. 또한 내부 조사를 통해 문제의 근본 원인을 파악하고 향후 이러한 일이 발생하지 않도록 조치를 취해야 합니다."
"또한 플랫폼 인증서로 서명된 애플리케이션의 수를 최소화하는 것이 좋습니다. 향후 유사한 사고가 발생할 경우 플랫폼 키 교체 비용을 크게 낮출 수 있습니다." 결론.
삼성에 연락했을 때 회사 대변인으로부터 다음과 같은 답변을 받았습니다.
삼성은 갤럭시 기기의 보안을 중요하게 생각합니다. 2016년부터 해당 문제를 인지하고 보안 패치를 진행하였으며, 현재까지 해당 취약점과 관련된 보안 사고는 알려진 바 없습니다. 항상 최신 소프트웨어 업데이트로 장치를 최신 상태로 유지하는 것이 좋습니다.
위의 응답은 회사가 2016년 이후 이 유출된 인증서에 대해 알고 있었음을 확인하는 것으로 보이지만, 취약점과 관련하여 알려진 보안 사고는 없었다고 주장합니다. 그러나 해당 취약점을 닫기 위해 무엇을 했는지는 명확하지 않으며 악성코드가 2016년에 VirusTotal에 처음 제출되었으며, 확실히 야생에 있는 것처럼 보입니다. 어딘가에.
우리는 의견을 위해 MediaTek과 Google에 연락했으며 회신을 받으면 업데이트할 것입니다.
업데이트: 2022년 12월 2일 12:45 EST 아담 콘웨이 작성
구글 응답
Google은 다음과 같은 진술을 제공했습니다.
OEM 파트너는 우리가 키 손상을 보고하자마자 즉시 완화 조치를 구현했습니다. 최종 사용자는 OEM 파트너가 구현한 사용자 완화를 통해 보호됩니다. Google은 시스템 이미지를 스캔하는 Build Test Suite에서 맬웨어에 대한 광범위한 탐지를 구현했습니다. Google Play 프로텍트도 맬웨어를 감지합니다. 이 멀웨어가 Google Play 스토어에 있거나 있었다는 징후가 없습니다. 항상 그렇듯이 사용자에게 최신 버전의 Android를 실행 중인지 확인하는 것이 좋습니다.