Samsung, LG și MediaTek se numără printre companiile afectate.
Un aspect crucial al securității smartphone-ului Android este procesul de semnare a aplicației. Este, în esență, o modalitate de a garanta că orice actualizări ale aplicației provin de la dezvoltatorul original, deoarece cheia folosită pentru a semna aplicațiile ar trebui să fie întotdeauna păstrată privată. Un număr dintre aceste certificate de platformă de la Samsung, MediaTek, LG și Revoview par să fi scurs și, mai rău, au fost folosite pentru a semna malware. Acest lucru a fost dezvăluit prin Android Partner Vulnerability Initiative (APVI) și se aplică numai actualizărilor aplicațiilor, nu OTA.
Când se scurg cheile de semnare, un atacator ar putea, teoretic, să semneze o aplicație rău intenționată cu o cheie de semnare și să o distribuie ca „actualizare” unei aplicații de pe telefonul cuiva. Tot ce ar trebui să facă o persoană era să încarce o actualizare de pe un site terță parte, ceea ce pentru entuziaști este o experiență destul de comună. În acest caz, utilizatorul ar oferi fără să știe acces la malware la nivel de sistem de operare Android, deoarece aceste aplicații rău intenționate pot folosi UID-ul partajat al Android și interfața cu sistemul „android”. proces.
„Un certificat de platformă este certificatul de semnare a aplicației folosit pentru a semna aplicația „android” pe imaginea sistemului. Aplicația „android” rulează cu un ID de utilizator foarte privilegiat - android.uid.system - și deține permisiuni de sistem, inclusiv permisiuni de acces la datele utilizatorului. Orice altă aplicație semnată cu același certificat poate declara că dorește să ruleze cu același utilizator id, oferindu-i același nivel de acces la sistemul de operare Android”, explică reporterul APVI. Aceste certificate sunt specifice furnizorului, prin aceea că certificatul de pe un dispozitiv Samsung va fi diferit de certificatul de pe un dispozitiv LG, chiar dacă sunt folosite pentru a semna aplicația „android”.
Aceste mostre de malware au fost descoperite de Łukasz Siewierski, un inginerie inversă la Google. Siewierski a partajat hash-uri SHA256 pentru fiecare dintre mostrele de malware și certificatele de semnare ale acestora și am putut să vedem acele mostre pe VirusTotal. Nu este clar unde au fost găsite acele mostre și dacă au fost distribuite anterior pe Google Play Store, pe site-uri de partajare APK, cum ar fi APKMirror sau în altă parte. Lista numelor pachetelor de programe malware semnate cu aceste certificate de platformă este mai jos. Actualizare: Google spune că acest malware nu a fost detectat pe Google Play Store.
- com.vantage.electronic.cornmuni
- com.rusă.signato.renewis
- com.sledsdffsjkh. Căutare
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.etapa
În raport, se precizează că „Toate părțile afectate au fost informate cu privire la constatări și au luat măsuri de remediere. pentru a minimiza impactul utilizatorului.” Cu toate acestea, cel puțin în cazul Samsung, se pare că aceste certificate sunt încă în utilizare. Se caută pe APKMirror pentru că certificatul său scurs arată actualizări chiar și astăzi care sunt distribuite cu aceste chei de semnare scurse.
În mod îngrijorător, unul dintre mostrele de malware care a fost semnat cu certificatul Samsung a fost trimis pentru prima dată în 2016. Nu este clar dacă certificatele Samsung au fost, prin urmare, în mâini rău intenționate timp de șase ani. Și mai puțin clar în acest moment este Cum aceste certificate au fost vehiculate în sălbăticie și dacă s-a produs deja vreo pagubă ca urmare. Oamenii încarcă mereu actualizările aplicației și se bazează pe sistemul de semnare a certificatelor pentru a se asigura că acele actualizări ale aplicației sunt legitime.
În ceea ce privește ceea ce pot face companiile, cea mai bună cale de urmat este o rotație a cheilor. Schema de semnare APK pentru Android v3 acceptă rotația cheilor în mod nativ, iar dezvoltatorii pot face upgrade de la Signing Scheme v2 la v3.
Acțiunea sugerată de reporterul APVI este că „Toate părțile afectate ar trebui să rotească certificatul platformei prin înlocuirea acestuia cu un nou set de chei publice și private. În plus, ar trebui să efectueze o investigație internă pentru a găsi cauza principală a problemei și să ia măsuri pentru a preveni incidentul să se întâmple în viitor.”
„De asemenea, recomandăm insistent minimizarea numărului de aplicații semnate cu certificatul platformei, așa cum va fi scădeți semnificativ costul cheilor rotative ale platformei în cazul în care va avea loc un incident similar în viitor”, se spune conchide.
Când am contactat Samsung, am primit următorul răspuns de la un purtător de cuvânt al companiei.
Samsung ia în serios securitatea dispozitivelor Galaxy. Am emis corecții de securitate din 2016 după ce am fost informați cu privire la problemă și nu au existat incidente de securitate cunoscute cu privire la această potențială vulnerabilitate. Recomandăm întotdeauna utilizatorilor să-și mențină dispozitivele la zi cu cele mai recente actualizări de software.
Răspunsul de mai sus pare să confirme că compania știe despre acest certificat scurs din 2016, deși susține că nu au existat incidente de securitate cunoscute cu privire la vulnerabilitate. Cu toate acestea, nu este clar ce a mai făcut pentru a închide această vulnerabilitate și având în vedere că malware-ul a fost trimis pentru prima dată la VirusTotal în 2016, s-ar părea că este cu siguranță în sălbăticie undeva.
Am contactat MediaTek și Google pentru comentarii și vă vom informa când vom primi răspunsuri.
ACTUALIZARE: 2022/12/02 12:45 EST DE ADAM CONWAY
Google răspunde
Google ne-a dat următoarea declarație.
Partenerii OEM au implementat prompt măsuri de atenuare de îndată ce am raportat compromisul cheie. Utilizatorii finali vor fi protejați de măsurile de atenuare ale utilizatorilor implementate de partenerii OEM. Google a implementat detectări ample pentru malware în Build Test Suite, care scanează imaginile sistemului. De asemenea, Google Play Protect detectează malware-ul. Nu există nicio indicație că acest malware este sau a fost pe Google Play Store. Ca întotdeauna, sfătuim utilizatorii să se asigure că rulează cea mai recentă versiune de Android.