Android OEM-nøkkellekkasje betyr at sidelastede "oppdateringer" kan skjule alvorlig skadelig programvare

Samsung, LG og MediaTek er blant selskapene som er berørt.

Et avgjørende aspekt ved Android-smarttelefonsikkerhet er applikasjonssigneringsprosessen. Det er i hovedsak en måte å garantere at eventuelle appoppdateringer kommer fra den opprinnelige utvikleren, siden nøkkelen som brukes til å signere applikasjoner alltid skal holdes privat. En rekke av disse plattformsertifikatene fra slike som Samsung, MediaTek, LG og Revoview ser ut til å ha lekket, og enda verre, blitt brukt til å signere skadelig programvare. Dette ble avslørt gjennom Android Partner Vulnerability Initiative (APVI) og gjelder kun appoppdateringer, ikke OTA-er.

Når signering av nøkler lekker, kan en angriper i teorien signere en ondsinnet app med en signeringsnøkkel og distribuere den som en "oppdatering" til en app på noens telefon. Alt en person trenger å gjøre var å laste inn en oppdatering fra en tredjepartsside, som for entusiaster er en ganske vanlig opplevelse. I det tilfellet ville brukeren ubevisst gi Android-operativsystem-nivå tilgang til skadelig programvare, ettersom disse ondsinnede appene kan gjøre bruk av Androids delte UID og grensesnitt med "android"-systemet prosess.

"Et plattformsertifikat er applikasjonssigneringssertifikatet som brukes til å signere "android"-applikasjonen på systembildet. "Android"-applikasjonen kjører med en svært privilegert bruker-ID - android.uid.system - og har systemtillatelser, inkludert tillatelser til å få tilgang til brukerdata. Enhver annen applikasjon signert med samme sertifikat kan erklære at den ønsker å kjøre med samme bruker id, noe som gir den samme tilgangsnivået til Android-operativsystemet," forklarer reporteren på APVI. Disse sertifikatene er leverandørspesifikke, ved at sertifikatet på en Samsung-enhet vil være forskjellig fra sertifikatet på en LG-enhet, selv om de brukes til å signere "android"-applikasjonen.

Disse skadelige prøvene ble oppdaget av Łukasz Siewierski, en omvendt ingeniør hos Google. Siewierski delte SHA256-hasher for hver av malware-eksemplene og deres signeringssertifikater, og vi kunne se disse prøvene på VirusTotal. Det er ikke klart hvor disse prøvene ble funnet, og om de tidligere ble distribuert på Google Play Store, APK-delingssider som APKMirror eller andre steder. Listen over pakkenavn på skadelig programvare signert med disse plattformsertifikatene er nedenfor. Oppdatering: Google sier at denne skadelige programvaren ikke ble oppdaget i Google Play-butikken.

  • com.vantage.elektronisk.cornmuni
  • com.russian.signato.renewis
  • com.sledsdffsjkh. Søk
  • com.android.power
  • com.management.propaganda
  • com.sec.android.musicplayer
  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage

I rapporten heter det at «Alle berørte parter ble informert om funnene og har iverksatt utbedringstiltak for å minimere brukerpåvirkningen." Men i det minste når det gjelder Samsung, ser det ut til at disse sertifikatene fortsatt er i bruk. Søker på APKMirror for det lekkede sertifikatet viser at oppdateringer fra i dag ble distribuert med disse lekke signeringsnøklene.

Bekymrende nok ble en av skadevareeksemplene som ble signert med Samsungs sertifikat først sendt inn i 2016. Det er uklart om Samsungs sertifikater derfor har vært i ondsinnede hender i seks år. Enda mindre klar på dette tidspunktet er hvordan disse sertifikatene har blitt sirkulert i naturen, og hvis det allerede har vært noen skade som følge av dette. Folk sidelaster appoppdateringer hele tiden og stoler på sertifikatsigneringssystemet for å sikre at disse appoppdateringene er legitime.

Når det gjelder hva bedrifter kan gjøre, er den beste veien videre en nøkkelrotasjon. Androids APK Signing Scheme v3 støtter nøkkelrotasjon, og utviklere kan oppgradere fra Signing Scheme v2 til v3.

Den foreslåtte handlingen gitt av reporteren på APVI er at "Alle berørte parter bør rotere plattformsertifikatet ved å erstatte det med et nytt sett med offentlige og private nøkler. I tillegg bør de gjennomføre en intern undersøkelse for å finne årsaken til problemet og ta skritt for å forhindre at hendelsen skjer i fremtiden."

"Vi anbefaler også på det sterkeste å minimere antallet søknader signert med plattformsertifikatet, som det vil redusere kostnadene for roterende plattformnøkler betydelig dersom en lignende hendelse skulle inntreffe i fremtiden," det konkluderer.

Da vi kontaktet Samsung, fikk vi følgende svar fra en talsperson for selskapet.

Samsung tar sikkerheten til Galaxy-enheter på alvor. Vi har utstedt sikkerhetsoppdateringer siden 2016 etter å ha blitt gjort oppmerksom på problemet, og det har ikke vært kjente sikkerhetshendelser angående denne potensielle sårbarheten. Vi anbefaler alltid at brukerne holder enhetene sine oppdatert med de siste programvareoppdateringene.

Svaret ovenfor ser ut til å bekrefte at selskapet har kjent til dette lekkede sertifikatet siden 2016, selv om det hevder at det ikke har vært kjente sikkerhetshendelser angående sårbarheten. Det er imidlertid ikke klart hva annet den har gjort for å lukke denne sårbarheten, og gitt at skadevare ble først sendt til VirusTotal i 2016, ser det ut til at det definitivt er ute i naturen et sted.

Vi har kontaktet MediaTek og Google for kommentarer og vil oppdatere deg når vi hører tilbake.

OPPDATERING: 2022/12/02 12:45 EST AV ADAM CONWAY

Google svarer

Google har gitt oss følgende uttalelse.

OEM-partnere implementerte umiddelbart avbøtende tiltak så snart vi rapporterte det viktigste kompromisset. Sluttbrukere vil bli beskyttet av brukerreduksjoner implementert av OEM-partnere. Google har implementert brede deteksjoner for skadelig programvare i Build Test Suite, som skanner systembilder. Google Play Protect oppdager også skadelig programvare. Det er ingen indikasjoner på at denne skadelige programvaren er eller var på Google Play-butikken. Som alltid anbefaler vi brukere å sørge for at de kjører den nyeste versjonen av Android.