Samsung, LG a MediaTek patria medzi dotknuté spoločnosti.
Rozhodujúcim aspektom zabezpečenia smartfónu s Androidom je proces podpisovania aplikácií. Je to v podstate spôsob, ako zaručiť, že všetky aktualizácie aplikácií pochádzajú od pôvodného vývojára, pretože kľúč používaný na podpisovanie aplikácií by mal byť vždy súkromný. Zdá sa, že viaceré z týchto certifikátov platforiem od spoločností Samsung, MediaTek, LG a Revoview unikli, a čo je ešte horšie, boli použité na podpisovanie škodlivého softvéru. Toto bolo zverejnené prostredníctvom iniciatívy Android Partner Vulnerability Initiative (APVI) a vzťahuje sa iba na aktualizácie aplikácií, nie OTA.
Pri podpisovaní úniku kľúčov by útočník teoreticky mohol podpísať škodlivú aplikáciu podpisovým kľúčom a distribuovať ju ako „aktualizáciu“ aplikácie na niečí telefón. Jediné, čo by človek potreboval, bolo načítať aktualizáciu zo stránky tretej strany, čo je pre nadšencov pomerne bežná skúsenosť. V takom prípade by používateľ nevedomky poskytol operačnému systému Android prístup k malvéru, pretože tieto škodlivé aplikácie môžu využívať zdieľané UID a rozhranie Androidu so systémom „android“. proces.
„Certifikát platformy je certifikát na podpisovanie aplikácie, ktorý sa používa na podpísanie aplikácie „android“ na obraze systému. Aplikácia „android“ beží s vysoko privilegovaným ID používateľa – android.uid.system – a je držiteľom systémových oprávnení vrátane oprávnení na prístup k údajom používateľa. Akákoľvek iná aplikácia podpísaná rovnakým certifikátom môže vyhlásiť, že chce bežať s rovnakým používateľom id, čo mu dáva rovnakú úroveň prístupu k operačnému systému Android,“ vysvetľuje reportér na APVI. Tieto certifikáty sú špecifické pre dodávateľa v tom, že certifikát na zariadení Samsung sa bude líšiť od certifikátu na zariadení LG, aj keď sa používajú na podpísanie aplikácie „android“.
Tieto vzorky malvéru objavil Łukasz Siewierski, reverzný inžinier v spoločnosti Google. Siewierski zdieľal hodnoty hash SHA256 každej vzorky malvéru a ich podpisových certifikátov a tieto vzorky sme si mohli pozrieť na VirusTotal. Nie je jasné, kde sa tieto vzorky našli a či boli predtým distribuované v obchode Google Play, na stránkach na zdieľanie súborov APK, ako je napríklad APKMirror, alebo inde. Zoznam názvov balíkov malvéru podpísaných týmito certifikátmi platformy je uvedený nižšie. Aktualizácia: Google hovorí, že tento malvér nebol v obchode Google Play zistený.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Vyhľadávanie
- com.android.power
- com.management.propaganda
- com.sec.android.hudobný prehrávač
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
V správe sa uvádza, že „Všetky dotknuté strany boli informované o zisteniach a prijali nápravné opatrenia minimalizovať dopad na používateľa.“ Zdá sa však, že aspoň v prípade Samsungu sú tieto certifikáty stále in použitie. Vyhľadávanie na APKMirror pretože jeho uniknutý certifikát zobrazuje aktualizácie z dnešného dňa, ktoré sú distribuované s týmito uniknutými podpisovými kľúčmi.
Je znepokojujúce, že jedna zo vzoriek malvéru, ktorá bola podpísaná certifikátom spoločnosti Samsung, bola prvýkrát odoslaná v roku 2016. Nie je jasné, či boli certifikáty Samsungu už šesť rokov v zlomyseľných rukách. V tejto chvíli je to ešte menej jasné ako tieto osvedčenia boli šírené vo voľnej prírode a ak už v dôsledku toho došlo k nejakej škode. Ľudia neustále načítavajú aktualizácie aplikácií a spoliehajú sa na systém podpisovania certifikátov, aby zabezpečili, že tieto aktualizácie aplikácií sú legitímne.
Pokiaľ ide o to, čo môžu spoločnosti urobiť, najlepšou cestou vpred je kľúčová rotácia. Android APK Signing Scheme v3 podporuje striedanie kľúčov natívnea vývojári môžu upgradovať z Signing Scheme v2 na v3.
Navrhovaný postup reportéra na APVI je, že „Všetky dotknuté strany by mali otočiť certifikát platformy tak, že ho nahradia novou sadou verejných a súkromných kľúčov. Okrem toho by mali vykonať interné vyšetrovanie, aby našli hlavnú príčinu problému a podnikli kroky na zabránenie tomu, aby sa incident v budúcnosti stal.“
„Dôrazne tiež odporúčame minimalizovať počet aplikácií podpísaných certifikátom platformy, ako to bude výrazne znížiť náklady na otáčanie kľúčov platformy, ak by v budúcnosti došlo k podobnému incidentu,“ uviedol uzatvára.
Keď sme oslovili spoločnosť Samsung, od hovorcu spoločnosti sme dostali nasledujúcu odpoveď.
Spoločnosť Samsung berie bezpečnosť zariadení Galaxy vážne. Od roku 2016 vydávame bezpečnostné záplaty po tom, ako sme boli upozornení na problém, a neboli známe žiadne bezpečnostné incidenty týkajúce sa tejto potenciálnej zraniteľnosti. Používateľom vždy odporúčame, aby svoje zariadenia aktualizovali pomocou najnovších aktualizácií softvéru.
Zdá sa, že vyššie uvedená odpoveď potvrdzuje, že spoločnosť vie o tomto uniknutom certifikáte od roku 2016, hoci tvrdí, že neboli známe žiadne bezpečnostné incidenty týkajúce sa tejto zraniteľnosti. Nie je však jasné, čo ešte urobil na odstránenie tejto zraniteľnosti a vzhľadom na malvér bol prvýkrát odoslaný do VirusTotal v roku 2016, zdalo by sa, že je určite vo voľnej prírode niekde.
Oslovili sme MediaTek a Google so žiadosťou o komentár a keď sa ozveme, budeme vás informovať.
AKTUALIZÁCIA: 2022/12/02 12:45 EST OD ADAM CONWAYA
Google odpovedá
Spoločnosť Google nám poskytla nasledujúce vyhlásenie.
OEM partneri okamžite zaviedli opatrenia na zmiernenie, len čo sme nahlásili kľúčový kompromis. Koncoví používatelia budú chránení používateľskými obmedzeniami implementovanými partnermi OEM. Google implementoval rozsiahle detekcie malvéru v Build Test Suite, ktorý skenuje obrazy systému. Google Play Protect tiež deteguje malvér. Nič nenasvedčuje tomu, že tento malvér je alebo bol v obchode Google Play. Ako vždy odporúčame používateľom, aby sa uistili, že používajú najnovšiu verziu systému Android.