Samsung, LG en MediaTek behoren tot de getroffen bedrijven.
Een cruciaal aspect van de beveiliging van Android-smartphones is het ondertekeningsproces van de applicatie. Het is in wezen een manier om te garanderen dat app-updates afkomstig zijn van de oorspronkelijke ontwikkelaar, aangezien de sleutel die wordt gebruikt om applicaties te ondertekenen altijd privé moet blijven. Een aantal van deze platformcertificaten van bijvoorbeeld Samsung, MediaTek, LG en Revoview lijkt te zijn gelekt, en erger nog, te zijn gebruikt om malware te ondertekenen. Dit is bekendgemaakt via het Android Partner Vulnerability Initiative (APVI) en is alleen van toepassing op app-updates, niet op OTA's.
Wanneer ondertekeningssleutels lekken, zou een aanvaller in theorie een schadelijke app kunnen ondertekenen met een ondertekeningssleutel en deze als een "update" naar een app op iemands telefoon kunnen verspreiden. Het enige dat een persoon hoeft te doen, is een update van een site van derden sideloaden, wat voor liefhebbers een vrij gebruikelijke ervaring is. In dat geval zou de gebruiker zonder het te weten Android-besturingssysteem toegang geven tot malware, omdat deze kwaadaardige apps gebruik kunnen maken van de gedeelde UID van Android en kunnen communiceren met het "Android"-systeem proces.
"Een platformcertificaat is het certificaat voor het ondertekenen van toepassingen dat wordt gebruikt om de "Android"-toepassing op de systeemkopie te ondertekenen. De "android"-applicatie draait met een zeer bevoorrechte gebruikers-ID - android.uid.system - en heeft systeemmachtigingen, inclusief machtigingen voor toegang tot gebruikersgegevens. Elke andere toepassing die met hetzelfde certificaat is ondertekend, kan aangeven dat deze met dezelfde gebruiker wil worden uitgevoerd id, waardoor het hetzelfde toegangsniveau heeft tot het Android-besturingssysteem", legt de verslaggever op de APVI uit. Deze certificaten zijn leverancierspecifiek, in die zin dat het certificaat op een Samsung-apparaat verschilt van het certificaat op een LG-apparaat, zelfs als ze worden gebruikt om de "android"-applicatie te ondertekenen.
Deze malwaremonsters zijn ontdekt door Łukasz Siewierski, een reverse engineer bij Google. Siewierski deelde SHA256-hashes van elk van de malwarevoorbeelden en hun ondertekeningscertificaten, en we konden die voorbeelden bekijken op VirusTotal. Het is niet duidelijk waar die voorbeelden zijn gevonden en of ze eerder zijn verspreid via de Google Play Store, sites voor het delen van APK's zoals APKMirror of ergens anders. De lijst met pakketnamen van malware ondertekend met deze platformcertificaten staat hieronder. Update: Google zegt dat deze malware niet is gedetecteerd in de Google Play Store.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Zoekopdracht
- com.android.kracht
- com.management.propaganda
- com.sec.android.muziekspeler
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
In het rapport staat: "Alle betrokken partijen zijn op de hoogte gebracht van de bevindingen en hebben herstelmaatregelen genomen om de impact op de gebruiker te minimaliseren." Het lijkt er echter op dat deze certificaten nog steeds in het geval van Samsung zijn gebruik. Zoeken op APKMirror want het uitgelekte certificaat laat zien dat updates van zelfs vandaag nog worden verspreid met deze gelekte ondertekeningssleutels.
Het is zorgwekkend dat een van de malwarevoorbeelden die was ondertekend met het certificaat van Samsung, voor het eerst werd ingediend in 2016. Het is onduidelijk of de certificaten van Samsung daardoor al zes jaar in kwade handen zijn geweest. Op dit moment nog minder duidelijk Hoe deze certificaten in het wild zijn verspreid en of er daardoor al schade is aangericht. Mensen sideloaden de hele tijd app-updates en vertrouwen op het certificaatondertekeningssysteem om ervoor te zorgen dat die app-updates legitiem zijn.
Wat betreft wat bedrijven kunnen doen, de beste manier voorwaarts is een sleutelrotatie. Android's APK-ondertekeningsschema v3 ondersteunt native sleutelrotatie, en ontwikkelaars kunnen upgraden van Signing Scheme v2 naar v3.
De voorgestelde actie van de verslaggever op de APVI is dat "Alle betrokken partijen het platformcertificaat moeten rouleren door het te vervangen door een nieuwe set openbare en privésleutels. Bovendien moeten ze een intern onderzoek uitvoeren om de oorzaak van het probleem te achterhalen en stappen ondernemen om te voorkomen dat het incident zich in de toekomst opnieuw voordoet."
"We raden ook ten zeerste aan om het aantal applicaties dat is ondertekend met het platformcertificaat te minimaliseren de kosten van het draaien van platformsleutels aanzienlijk verlagen, mocht zich in de toekomst een soortgelijk incident voordoen concludeert.
Toen we contact opnamen met Samsung, kregen we het volgende antwoord van een woordvoerder van het bedrijf.
Samsung neemt de beveiliging van Galaxy-toestellen serieus. We hebben sinds 2016 beveiligingspatches uitgegeven nadat we op de hoogte waren gebracht van het probleem, en er zijn geen beveiligingsincidenten bekend met betrekking tot deze potentiële kwetsbaarheid. We raden gebruikers altijd aan om hun apparaten up-to-date te houden met de nieuwste software-updates.
Het bovenstaande antwoord lijkt te bevestigen dat het bedrijf al sinds 2016 op de hoogte is van dit gelekte certificaat, hoewel het beweert dat er geen veiligheidsincidenten met betrekking tot de kwetsbaarheid bekend zijn. Het is echter niet duidelijk wat het nog meer heeft gedaan om die kwetsbaarheid te dichten, en gezien de malware werd voor het eerst ingediend bij VirusTotal in 2016, het lijkt erop dat het definitief in het wild is ergens.
We hebben contact opgenomen met MediaTek en Google voor commentaar en zullen u op de hoogte houden wanneer we iets horen.
UPDATE: 2022/12/02 12:45 EST DOOR ADAM CONWAY
Google reageert
Google heeft ons de volgende verklaring gegeven.
OEM-partners implementeerden onmiddellijk mitigerende maatregelen zodra we het belangrijkste compromis meldden. Eindgebruikers worden beschermd door gebruikersbeperkingen die door OEM-partners zijn geïmplementeerd. Google heeft brede detecties voor de malware geïmplementeerd in Build Test Suite, die systeemafbeeldingen scant. Google Play Protect detecteert ook de malware. Er zijn geen aanwijzingen dat deze malware zich in de Google Play Store bevindt of bevond. Zoals altijd adviseren we gebruikers ervoor te zorgen dat ze de nieuwste versie van Android gebruiken.