Tarp nukentėjusių įmonių yra „Samsung“, LG ir „MediaTek“.
Esminis „Android“ išmaniojo telefono saugumo aspektas yra programos pasirašymo procesas. Iš esmės tai yra būdas užtikrinti, kad bet kokius programos naujinius gautų pradinis kūrėjas, nes raktas, naudojamas programoms pasirašyti, visada turėtų būti privatus. Panašu, kad daugelis šių platformų sertifikatų iš „Samsung“, „MediaTek“, „LG“ ir „Revoview“ nutekėjo, o dar blogiau – buvo naudojami kenkėjiškų programų pasirašymui. Tai buvo atskleista per „Android Partner Vulnerability Initiative“ (APVI) ir taikoma tik programų naujinimams, o ne OTA.
Kai pasirašymo raktai nuteka, užpuolikas teoriškai gali pasirašyti kenkėjišką programą pasirašymo raktu ir platinti ją kaip programėlės „naujinimą“ kažkieno telefone. Viskas, ką žmogui reikėtų padaryti, tai įkelti naujinimą iš trečiosios šalies svetainės, o tai entuziastams yra gana įprasta patirtis. Tokiu atveju naudotojas nesąmoningai suteiktų „Android“ operacinei sistemai prieigą prie kenkėjiškų programų, nes šios kenkėjiškos programos gali naudoti „Android“ bendrinamą UID ir sąsają su „Android“ sistema procesas.
„Platformos sertifikatas yra programos pasirašymo sertifikatas, naudojamas „Android“ programai pasirašyti sistemos vaizde. „Android“ programa veikia su labai privilegijuotu vartotojo ID – android.uid.system – ir turi sistemos leidimus, įskaitant leidimus pasiekti vartotojo duomenis. Bet kuri kita programa, pasirašyta tuo pačiu sertifikatu, gali pareikšti, kad nori paleisti su tuo pačiu vartotoju id, suteikiant jai tokio pat lygio prieigą prie „Android“ operacinės sistemos“, – aiškina APVI reporteris. Šie sertifikatai yra skirti tik tiekėjui, nes „Samsung“ įrenginyje esantis sertifikatas skirsis nuo sertifikato LG įrenginyje, net jei jie naudojami „Android“ programai pasirašyti.
Šiuos kenkėjiškų programų pavyzdžius aptiko Łukasz Siewierski, „Google“ atvirkštinis inžinierius. Siewierski pasidalijo kiekvieno kenkėjiškų programų pavyzdžio ir jų pasirašymo sertifikatų SHA256 maišos, ir mes galėjome peržiūrėti tuos pavyzdžius „VirusTotal“. Neaišku, kur tie pavyzdžiai buvo rasti ir ar jie anksčiau buvo platinami „Google Play“ parduotuvėje, APK bendrinimo svetainėse, pvz., „APKMirror“, ar kitur. Žemiau pateikiamas kenkėjiškų programų, pasirašytų šiais platformos sertifikatais, paketų pavadinimų sąrašas. Atnaujinimas: „Google“ teigia, kad ši kenkėjiška programa nebuvo aptikta „Google Play“ parduotuvėje.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Paieška
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
Ataskaitoje teigiama, kad „Visos paveiktos šalys buvo informuotos apie išvadas ir ėmėsi taisomųjų priemonių kad būtų sumažintas vartotojų poveikis.“ Tačiau bent jau „Samsung“ atveju atrodo, kad šie sertifikatai vis dar yra naudoti. Ieškoma APKMirror nes nutekėjęs sertifikatas rodo, kad ir šiandien naujinimai platinami su šiais nutekėjusiais pasirašymo raktais.
Nerimą kelia tai, kad vienas iš kenkėjiškų programų pavyzdžių, kuris buvo pasirašytas su „Samsung“ sertifikatu, pirmą kartą buvo pateiktas 2016 m. Neaišku, ar „Samsung“ sertifikatai šešerius metus buvo piktavalių rankose. Šiuo metu dar mažiau aišku kaip šie sertifikatai buvo išplatinti gamtoje ir jei dėl to jau buvo padaryta žala. Žmonės visą laiką įkelia programų naujinimus ir pasitiki sertifikatų pasirašymo sistema, kad įsitikintų, jog tie programos naujiniai yra teisėti.
Kalbant apie tai, ką įmonės gali padaryti, geriausias būdas į priekį yra raktų rotacija. „Android“ APK pasirašymo schema v3 palaiko raktų sukimąsi, o kūrėjai gali naujovinti iš pasirašymo schemos v2 į v3.
Žurnalisto siūlomas veiksmas dėl APVI yra toks: „Visos paveiktos šalys turėtų keisti platformos sertifikatą, pakeisdamos jį nauju viešųjų ir privačių raktų rinkiniu. Be to, jie turėtų atlikti vidinį tyrimą, kad nustatytų pagrindinę problemos priežastį ir imtųsi priemonių, kad incidentas nepasikartotų ateityje.
„Taip pat primygtinai rekomenduojame iki minimumo sumažinti su platformos sertifikatu pasirašytų programų skaičių, kaip ir bus žymiai sumažinti besisukančių platformos raktų kainą, jei panašus incidentas įvyktų ateityje“, – rašoma pranešime daro išvadą.
Kai susisiekėme su „Samsung“, bendrovės atstovas spaudai gavo tokį atsakymą.
„Samsung“ rimtai žiūri į „Galaxy“ įrenginių saugumą. Sužinoję apie problemą, išleidome saugos pataisas nuo 2016 m., todėl su šiuo galimu pažeidžiamumu susijusių saugumo incidentų nebuvo. Mes visada rekomenduojame, kad vartotojai nuolat atnaujintų savo įrenginius su naujausiais programinės įrangos atnaujinimais.
Panašu, kad aukščiau pateiktas atsakymas patvirtina, kad bendrovė apie šį nutekėjusį sertifikatą žinojo nuo 2016 m., nors teigia, kad su pažeidžiamumu susijusių saugumo incidentų nebuvo. Tačiau neaišku, ką dar ji padarė, kad pašalintų tą pažeidžiamumą ir, atsižvelgiant į tai, kenkėjiška programa pirmą kartą buvo pateikta „VirusTotal“ 2016 m., atrodo, kad jis tikrai lauke kažkur.
Susisiekėme su „MediaTek“ ir „Google“ norėdami pakomentuoti ir informuosime jus, kai išgirsime.
ATNAUJINIMAS: 2022-12-02 12:45 EST, PAGAL ADAMĄ CONWAY
Google atsako
„Google“ pateikė mums tokį pareiškimą.
OĮG partneriai nedelsdami įgyvendino švelninimo priemones, kai tik pranešėme apie pagrindinį kompromisą. Galutiniai vartotojai bus apsaugoti OĮG partnerių įdiegtomis vartotojų mažinimo priemonėmis. „Google“ įdiegė platų kenkėjiškų programų aptikimą „Build Test Suite“, kuris nuskaito sistemos vaizdus. „Google Play Protect“ taip pat aptinka kenkėjišką programą. Nėra jokių požymių, kad ši kenkėjiška programa yra ar buvo „Google Play“ parduotuvėje. Kaip visada, patariame naudotojams įsitikinti, kad jie naudoja naujausią „Android“ versiją.