Wśród firm, których to dotyczy, są Samsung, LG i MediaTek.
Kluczowym aspektem bezpieczeństwa smartfonów z systemem Android jest proces podpisywania aplikacji. Zasadniczo jest to sposób na zagwarantowanie, że wszelkie aktualizacje aplikacji pochodzą od pierwotnego programisty, ponieważ klucz używany do podpisywania aplikacji powinien zawsze być prywatny. Wydaje się, że wiele certyfikatów tych platform, takich jak Samsung, MediaTek, LG i Revoview, wyciekło, a co gorsza, zostało wykorzystanych do podpisywania złośliwego oprogramowania. Zostało to ujawnione przez Android Partner Vulnerability Initiative (APVI) i dotyczy tylko aktualizacji aplikacji, a nie OTA.
W przypadku wycieku kluczy podpisywania osoba atakująca może teoretycznie podpisać złośliwą aplikację kluczem podpisywania i rozesłać ją jako „aktualizację” aplikacji na czyimś telefonie. Wszystko, co osoba musiałaby zrobić, to pobrać aktualizację z witryny innej firmy, co dla entuzjastów jest dość powszechnym doświadczeniem. W takim przypadku użytkownik nieświadomie przyznałby systemowi operacyjnemu Android dostęp do złośliwego oprogramowania, ponieważ te złośliwe aplikacje mogą wykorzystywać wspólny identyfikator UID i interfejs Androida z systemem „Android”. proces.
„Certyfikat platformy to certyfikat podpisywania aplikacji używany do podpisywania aplikacji „Android” na obrazie systemu. Aplikacja "android" działa z wysoce uprzywilejowanym identyfikatorem użytkownika - android.uid.system - i posiada uprawnienia systemowe, w tym uprawnienia dostępu do danych użytkownika. Każda inna aplikacja podpisana tym samym certyfikatem może zadeklarować, że chce działać z tym samym użytkownikiem id, dając mu ten sam poziom dostępu do systemu operacyjnego Android” – wyjaśnia reporter APVI. Certyfikaty te są specyficzne dla dostawcy, ponieważ certyfikat na urządzeniu Samsung będzie inny niż certyfikat na urządzeniu LG, nawet jeśli są używane do podpisywania aplikacji „Android”.
Te próbki złośliwego oprogramowania zostały odkryte przez Łukasza Siewierskiego, inżyniera wstecznego w Google. Siewierski udostępnił skróty SHA256 każdej z próbek złośliwego oprogramowania i ich certyfikaty podpisujące, a my mogliśmy zobaczyć te próbki w VirusTotal. Nie jest jasne, gdzie znaleziono te próbki i czy były one wcześniej dystrybuowane w sklepie Google Play, witrynach udostępniających pliki APK, takich jak APKMirror, lub gdzie indziej. Lista nazw pakietów złośliwego oprogramowania podpisanego za pomocą tych certyfikatów platformy znajduje się poniżej. Aktualizacja: Google twierdzi, że to złośliwe oprogramowanie nie zostało wykryte w sklepie Google Play.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Szukaj
- com.android.power
- zarządzanie.komunikacją.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
W raporcie stwierdza się, że „Wszystkie zainteresowane strony zostały poinformowane o ustaleniach i podjęły środki zaradcze aby zminimalizować wpływ użytkownika.” Jednak przynajmniej w przypadku Samsunga wydaje się, że te certyfikaty są nadal aktualne używać. Wyszukiwanie w APKMirror dla jego ujawnionego certyfikatu pokazuje aktualizacje nawet dzisiaj, które są dystrybuowane za pomocą tych kluczy podpisujących, które wyciekły.
Niepokojące jest to, że jedna z próbek złośliwego oprogramowania, która została podpisana certyfikatem Samsunga, została po raz pierwszy przesłana w 2016 roku. Nie jest jasne, czy certyfikaty Samsunga znajdowały się w złośliwych rękach przez sześć lat. Jeszcze mniej jasne w tym momencie jest Jak certyfikaty te zostały rozpowszechnione w środowisku naturalnym i czy w wyniku tego wyrządzono już jakiekolwiek szkody. Ludzie cały czas ładują aktualizacje aplikacji i polegają na systemie podpisywania certyfikatów, aby upewnić się, że te aktualizacje aplikacji są zgodne z prawem.
Jeśli chodzi o to, co firmy mogą zrobić, najlepszym rozwiązaniem jest rotacja kluczy. Schemat podpisywania plików APK systemu Android w wersji 3 obsługuje rotację kluczy natywnie, a programiści mogą uaktualnić schemat podpisywania z wersji 2 do wersji 3.
Sugerowane działanie zgłaszającego w sprawie APVI jest następujące: „Wszystkie zainteresowane strony powinny obrócić certyfikat platformy, zastępując go nowym zestawem kluczy publicznych i prywatnych. Ponadto powinni przeprowadzić wewnętrzne dochodzenie, aby znaleźć pierwotną przyczynę problemu i podjąć kroki, aby zapobiec wystąpieniu incydentu w przyszłości”.
„Zdecydowanie zalecamy również minimalizowanie liczby aplikacji podpisanych certyfikatem platformy, ponieważ tak się stanie znacznie obniżyć koszt kluczy obrotowych do platformy, gdyby podobny incydent miał miejsce w przyszłości”, it konkluduje.
Kiedy skontaktowaliśmy się z Samsungiem, otrzymaliśmy następującą odpowiedź od rzecznika firmy.
Samsung poważnie traktuje bezpieczeństwo urządzeń Galaxy. Od 2016 roku wydajemy łatki bezpieczeństwa po otrzymaniu informacji o problemie i nie są znane żadne incydenty związane z bezpieczeństwem dotyczące tej potencjalnej luki. Zawsze zalecamy, aby użytkownicy aktualizowali swoje urządzenia za pomocą najnowszych aktualizacji oprogramowania.
Powyższa odpowiedź wydaje się potwierdzać, że firma wiedziała o tym certyfikacie, który wyciekł od 2016 roku, chociaż twierdzi, że nie było znanych incydentów bezpieczeństwa dotyczących tej luki. Jednak nie jest jasne, co jeszcze zrobił, aby zlikwidować tę lukę, a biorąc pod uwagę to złośliwe oprogramowanie został po raz pierwszy przesłany do VirusTotal w 2016 roku, wydaje się, że zdecydowanie jest na wolności gdzieś.
Skontaktowaliśmy się z MediaTek i Google w celu uzyskania komentarza i poinformujemy Cię o tym, gdy otrzymamy odpowiedź.
AKTUALIZACJA: 2022/12/02 12:45 EST ADAM CONWAY
Google odpowiada
Google przekazało nam następujące oświadczenie.
Partnerzy OEM niezwłocznie wdrożyli środki zaradcze, gdy tylko zgłosiliśmy kluczowy kompromis. Użytkownicy końcowi będą chronieni przez środki zaradcze dla użytkowników wdrożone przez partnerów OEM. Google wdrożyło szerokie wykrywanie złośliwego oprogramowania w pakiecie Build Test Suite, który skanuje obrazy systemu. Google Play Protect wykrywa również złośliwe oprogramowanie. Nic nie wskazuje na to, że to złośliwe oprogramowanie jest lub było w sklepie Google Play. Jak zawsze radzimy użytkownikom, aby korzystali z najnowszej wersji Androida.