Starp ietekmētajiem uzņēmumiem ir Samsung, LG un MediaTek.
Būtisks Android viedtālruņa drošības aspekts ir lietojumprogrammu parakstīšanas process. Tas būtībā ir veids, kā garantēt, ka visus lietotņu atjauninājumus nodrošina sākotnējais izstrādātājs, jo lietojumprogrammu parakstīšanai izmantotajai atslēgai vienmēr ir jābūt privātai. Šķiet, ka vairāki no šiem platformas sertifikātiem, piemēram, Samsung, MediaTek, LG un Revoview, ir nopludināti un, vēl ļaunāk, tika izmantoti ļaunprātīgas programmatūras parakstīšanai. Tas tika atklāts, izmantojot Android partneru ievainojamības iniciatīvu (APVI), un tas attiecas tikai uz lietotņu atjauninājumiem, nevis OTA.
Kad parakstīšanas atslēgas noplūst, uzbrucējs teorētiski var parakstīt ļaunprātīgu lietotni ar parakstīšanas atslēgu un izplatīt to kā lietotnes "atjauninājumu" kāda lietotāja tālrunī. Viss, kas cilvēkam būtu jādara, bija ielādēt atjauninājumu no trešās puses vietnes, kas entuziastiem ir diezgan izplatīta pieredze. Tādā gadījumā lietotājs neapzināti piešķirtu Android operētājsistēmas līmeņa piekļuvi ļaunprātīgai programmatūrai, jo šīs ļaunprātīgās lietotnes var izmantot Android koplietoto UID un saskarni ar "android" sistēmu process.
Platformas sertifikāts ir lietojumprogrammas parakstīšanas sertifikāts, ko izmanto, lai sistēmas attēlā parakstītu lietojumprogrammu "android". Lietojumprogramma "android" darbojas ar ļoti priviliģētu lietotāja ID - android.uid.system - un tai ir sistēmas atļaujas, tostarp atļaujas piekļūt lietotāja datiem. Jebkura cita lietojumprogramma, kas parakstīta ar to pašu sertifikātu, var paziņot, ka tā vēlas darboties ar to pašu lietotāju id, piešķirot tai tāda paša līmeņa piekļuvi Android operētājsistēmai," skaidro APVI reportieris. Šie sertifikāti ir specifiski pārdevējam, jo Samsung ierīcē esošais sertifikāts atšķirsies no sertifikāta LG ierīcē, pat ja tie tiek izmantoti lietojumprogrammas "android" parakstīšanai.
Šos ļaunprātīgas programmatūras paraugus atklāja Ļukass Sīvjerskis, Google reverso inženieris. Siewierski kopīgoja katra ļaunprātīgas programmatūras parauga SHA256 jaucējvērtības un to parakstīšanas sertifikātus, un mēs varējām skatīt šos paraugus vietnē VirusTotal. Nav skaidrs, kur šie paraugi tika atrasti un vai tie iepriekš tika izplatīti Google Play veikalā, APK koplietošanas vietnēs, piemēram, APKMirror, vai citur. Tālāk ir norādīts ar šiem platformas sertifikātiem parakstītās ļaunprātīgās programmatūras pakotņu nosaukumu saraksts. Atjauninājums: Google saka, ka šī ļaunprātīgā programmatūra netika atklāta Google Play veikalā.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Meklēt
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
Ziņojumā teikts, ka "Visas skartās puses tika informētas par konstatējumiem un ir veikušas atlīdzināšanas pasākumus lai samazinātu lietotāju ietekmi." Tomēr vismaz Samsung gadījumā šķiet, ka šie sertifikāti joprojām ir spēkā izmantot. Meklē APKMirror tā nopludinātajam sertifikātam parāda atjauninājumus pat šodien, kas tiek izplatīti ar šīm noplūdušajām parakstīšanas atslēgām.
Satraucoši, ka viens no ļaunprātīgas programmatūras paraugiem, kas tika parakstīts ar Samsung sertifikātu, pirmo reizi tika iesniegts 2016. gadā. Nav skaidrs, vai Samsung sertifikāti tāpēc sešus gadus ir bijuši ļaunprātīgās rokās. Šobrīd tas ir vēl mazāk skaidrs kā šie sertifikāti ir izplatīti savvaļā un ja jau ir nodarīts kāds kaitējums. Cilvēki pastāvīgi ielādē lietotņu atjauninājumus un paļaujas uz sertifikātu parakstīšanas sistēmu, lai nodrošinātu, ka šie lietotņu atjauninājumi ir likumīgi.
Attiecībā uz to, ko uzņēmumi var darīt, labākais ceļš uz priekšu ir atslēgu rotācija. Android APK parakstīšanas shēma v3 atbalsta atslēgu rotāciju sākotnēji, un izstrādātāji var jaunināt no parakstīšanas shēmas v2 uz v3.
Ziņotāja ieteiktā darbība saistībā ar APVI ir šāda: "Visām ietekmētajām pusēm ir jāmaina platformas sertifikāts, aizstājot to ar jaunu publisko un privāto atslēgu komplektu. Turklāt viņiem būtu jāveic iekšēja izmeklēšana, lai noskaidrotu problēmas galveno cēloni un veiktu pasākumus, lai novērstu incidenta atkārtošanos nākotnē.
"Mēs arī ļoti iesakām samazināt ar platformas sertifikātu parakstīto lietojumprogrammu skaitu, kā tas notiks ievērojami samazināt platformas atslēgu rotācijas izmaksas, ja līdzīgs incidents notiktu nākotnē secina.
Kad sazinājāmies ar Samsung, uzņēmuma pārstāvis mums sniedza šādu atbildi.
Samsung nopietni uztver Galaxy ierīču drošību. Mēs esam izlaiduši drošības ielāpus kopš 2016. gada, kad esam informēti par šo problēmu, un nav bijuši zināmi drošības incidenti saistībā ar šo iespējamo ievainojamību. Mēs vienmēr iesakām lietotājiem regulāri atjaunināt savas ierīces ar jaunākajiem programmatūras atjauninājumiem.
Šķiet, ka iepriekš minētā atbilde apstiprina, ka uzņēmums ir zinājis par šo noplūdušo sertifikātu kopš 2016. gada, lai gan tas apgalvo, ka nav bijuši zināmi drošības incidenti saistībā ar ievainojamību. Tomēr nav skaidrs, ko vēl tā ir darījusi, lai novērstu šo ievainojamību, un, ņemot vērā to, ļaunprātīgo programmatūru pirmo reizi tika iesniegts VirusTotal 2016. gadā, šķiet, ka tas noteikti ir brīvā dabā. kaut kur.
Mēs esam sazinājušies ar MediaTek un Google, lai saņemtu komentārus, un informēsim jūs, kad saņemsim atbildes.
ATJAUNINĀJUMS: 2022/12/02 12:45 EST, ADAM KONVEJS
Google atbild
Google mums sniedza šādu paziņojumu.
OEM partneri nekavējoties ieviesa seku mazināšanas pasākumus, tiklīdz mēs ziņojām par galveno kompromisu. Galalietotājus aizsargās OEM partneru ieviestie lietotāju mazināšanas pasākumi. Google ir ieviesis plašu ļaunprātīgas programmatūras noteikšanu Build Test Suite, kas skenē sistēmas attēlus. Google Play Protect arī atklāj ļaunprātīgu programmatūru. Nekas neliecina, ka šī ļaunprātīgā programmatūra ir vai bija Google Play veikalā. Kā vienmēr, mēs iesakām lietotājiem pārliecināties, ka viņi izmanto jaunāko Android versiju.