Среди пострадавших компаний Samsung, LG и MediaTek.
Важнейшим аспектом безопасности Android-смартфона является процесс подписания приложений. По сути, это способ гарантировать, что любые обновления приложений исходят от исходного разработчика, поскольку ключ, используемый для подписи приложений, всегда должен оставаться закрытым. Некоторые из этих сертификатов платформ от таких компаний, как Samsung, MediaTek, LG и Revoview, похоже, просочились и, что еще хуже, использовались для подписи вредоносных программ. Об этом стало известно в рамках Инициативы по уязвимости партнеров Android (APVI) и относится только к обновлениям приложений, а не к OTA.
При утечке ключей подписи злоумышленник теоретически может подписать вредоносное приложение с помощью ключа подписи и распространить его как «обновление» для приложения на чьем-то телефоне. Все, что нужно сделать человеку, это загрузить обновление со стороннего сайта, что для энтузиастов является довольно распространенным явлением. В этом случае пользователь неосознанно предоставляет доступ к вредоносным программам на уровне операционной системы Android. поскольку эти вредоносные приложения могут использовать общий UID Android и интерфейс с системой «Android». процесс.
«Сертификат платформы — это сертификат подписи приложения, используемый для подписи приложения Android в образе системы. Приложение «android» запускается с идентификатором пользователя с высокими привилегиями — android.uid.system — и содержит системные разрешения, включая разрешения на доступ к пользовательским данным. Любое другое приложение, подписанное тем же сертификатом, может объявить, что оно хочет работать с тем же пользователем. id, предоставляя ему такой же уровень доступа к операционной системе Android», — объясняет репортер APVI. Эти сертификаты зависят от поставщика, поскольку сертификат на устройстве Samsung будет отличаться от сертификата на устройстве LG, даже если они используются для подписи приложения «Android».
Эти образцы вредоносных программ были обнаружены Лукашем Северски, реверс-инженером в Google. Siewierski поделился хэшами SHA256 каждого из образцов вредоносных программ и их сертификатов подписи, и мы смогли просмотреть эти образцы на VirusTotal. Неясно, где были найдены эти образцы и распространялись ли они ранее в Google Play Store, на сайтах обмена APK, таких как APKMirror, или где-либо еще. Список имен пакетов вредоносных программ, подписанных этими сертификатами платформы, приведен ниже. Обновление: Google сообщает, что эта вредоносная программа не была обнаружена в магазине Google Play.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Поиск
- com.android.power
- ком.управление.пропаганда
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
В отчете говорится, что «все затронутые стороны были проинформированы о результатах и приняли меры по исправлению положения». чтобы свести к минимуму влияние на пользователя». Однако, по крайней мере, в случае с Samsung кажется, что эти сертификаты все еще использовать. Поиск на APKMirror поскольку его просочившийся сертификат показывает, что обновления даже сегодня распространяются с этими просочившимися ключами подписи.
К сожалению, один из образцов вредоносного ПО, подписанный сертификатом Samsung, впервые был представлен в 2016 году. Таким образом, неясно, находились ли сертификаты Samsung в руках злоумышленников в течение шести лет. Еще менее ясным на данный момент является как эти сертификаты были распространены в дикой природе, и если в результате уже был нанесен какой-либо ущерб. Люди постоянно загружают обновления приложений и полагаются на систему подписи сертификатов, чтобы убедиться, что эти обновления приложений являются законными.
Что касается того, что могут сделать компании, то лучший путь вперед — это ключевая ротация. Android APK Signing Scheme v3 изначально поддерживает ротацию ключей, и разработчики могут перейти с Signing Scheme v2 на v3.
Предлагаемое действие, данное репортером на APVI, заключается в том, что «Все затронутые стороны должны сменить сертификат платформы, заменив его новым набором открытых и закрытых ключей. Кроме того, они должны провести внутреннее расследование, чтобы найти основную причину проблемы и принять меры для предотвращения повторения инцидента в будущем».
«Мы также настоятельно рекомендуем свести к минимуму количество приложений, подписанных сертификатом платформы, так как это значительно снизить стоимость замены ключей платформы, если подобный инцидент произойдет в будущем», — говорится в сообщении. заключает.
Когда мы обратились в Samsung, представитель компании дал нам следующий ответ.
Samsung серьезно относится к безопасности устройств Galaxy. Мы выпускаем исправления безопасности с 2016 года, когда нам стало известно об этой проблеме, и не было никаких известных инцидентов безопасности, связанных с этой потенциальной уязвимостью. Мы всегда рекомендуем пользователям обновлять свои устройства с помощью последних обновлений программного обеспечения.
Приведенный выше ответ, по-видимому, подтверждает, что компания знала об этом утечке сертификата с 2016 года, хотя утверждает, что не было известных инцидентов безопасности, связанных с уязвимостью. Однако неясно, что еще было сделано, чтобы закрыть эту уязвимость, и учитывая, что вредоносное ПО был впервые отправлен на VirusTotal в 2016 году, казалось бы, он определенно вышел в дикую природу где-то.
Мы обратились к MediaTek и Google за комментариями и сообщим вам, когда получим ответ.
ОБНОВЛЕНИЕ: 2 декабря 2022 г., 12:45 по восточному поясному времени, автор Адам Конвей.
Google отвечает
Google дал нам следующее заявление.
Как только мы сообщили о ключевой компрометации, OEM-партнеры незамедлительно приняли меры по смягчению последствий. Конечные пользователи будут защищены с помощью средств защиты пользователей, реализованных OEM-партнерами. Google реализовал широкое обнаружение вредоносных программ в Build Test Suite, который сканирует образы системы. Google Play Protect также обнаруживает вредоносное ПО. Нет никаких указаний на то, что это вредоносное ПО есть или было в магазине Google Play. Как всегда, мы советуем пользователям убедиться, что они используют последнюю версию Android.