Samsung, LG in MediaTek so med prizadetimi podjetji.
Ključni vidik varnosti pametnega telefona Android je postopek podpisovanja aplikacije. To je v bistvu način, da zagotovimo, da vse posodobitve aplikacije prihajajo od prvotnega razvijalca, saj mora biti ključ, ki se uporablja za podpisovanje aplikacij, vedno zaseben. Zdi se, da so številni certifikati platforme, kot so Samsung, MediaTek, LG in Revoview, pricurljali v javnost in, kar je še huje, bili uporabljeni za podpisovanje zlonamerne programske opreme. To je bilo razkrito prek pobude Android Partner Vulnerability Initiative (APVI) in velja samo za posodobitve aplikacij, ne pa za OTA.
Ko ključi za podpisovanje uhajajo, bi lahko napadalec teoretično podpisal zlonamerno aplikacijo s ključem za podpisovanje in jo razdelil kot "posodobitev" aplikacije na telefonu nekoga. Vse, kar bi oseba morala storiti, je, da stran naloži posodobitev s spletnega mesta tretje osebe, kar je za navdušence dokaj običajna izkušnja. V tem primeru bi uporabnik zlonamerni programski opremi nevede dal dostop na ravni operacijskega sistema Android, saj lahko te zlonamerne aplikacije uporabljajo skupni UID in vmesnik Androida s sistemom »android«. postopek.
»Certifikat platforme je potrdilo za podpisovanje aplikacije, ki se uporablja za podpisovanje »android« aplikacije na sistemski sliki. Aplikacija "android" deluje z visoko privilegiranim ID-jem uporabnika - android.uid.system - in ima sistemska dovoljenja, vključno z dovoljenji za dostop do uporabniških podatkov. Katera koli druga aplikacija, podpisana z istim certifikatom, lahko izjavi, da želi delovati z istim uporabnikom id, kar mu daje enako raven dostopa do operacijskega sistema Android,« pojasnjuje novinar APVI. Ti certifikati so specifični za prodajalca, saj se bo certifikat na napravi Samsung razlikoval od certifikata na napravi LG, tudi če se uporabljajo za podpis aplikacije "android".
Te vzorce zlonamerne programske opreme je odkril Łukasz Siewierski, povratni inženir pri Googlu. Siewierski je delil zgoščene vrednosti SHA256 za vsakega od vzorcev zlonamerne programske opreme in njihovih potrdil za podpisovanje, te vzorce pa smo si lahko ogledali na VirusTotal. Ni jasno, kje so bili ti vzorci najdeni in ali so bili prej distribuirani v trgovini Google Play, na spletnih mestih za skupno rabo APK-jev, kot je APKMirror, ali drugje. Spodaj je seznam imen paketov zlonamerne programske opreme, podpisane s temi certifikati platforme. Posodobitev: Google pravi, da ta zlonamerna programska oprema ni bila zaznana v trgovini Google Play.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Iskanje
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
V poročilu piše, da so bili vsi prizadeti obveščeni o ugotovitvah in so sprejeli sanacijske ukrepe. da čim bolj zmanjšate vpliv na uporabnika." Vendar se vsaj v primeru Samsunga zdi, da so ti certifikati še vedno v uporabi uporaba. Iskanje na APKMirror saj njegovo razkrito potrdilo prikazuje posodobitve, ki so že danes distribuirane s temi razkritimi ključi za podpisovanje.
Zaskrbljujoče je, da je bil eden od vzorcev zlonamerne programske opreme, ki je bil podpisan s Samsungovim certifikatom, prvič predložen leta 2016. Ni jasno, ali so bili Samsungovi certifikati torej šest let v zlonamernih rokah. Še manj jasno je v tem trenutku kako so bila ta potrdila razširjena v naravi in če je zaradi tega že nastala kakšna škoda. Ljudje ves čas nalagajo posodobitve aplikacij in se zanašajo na sistem podpisovanja potrdil, da zagotovijo, da so te posodobitve aplikacij zakonite.
Glede tega, kaj lahko podjetja storijo, je najboljša pot naprej rotacija ključev. Androidova shema podpisovanja APK v3 izvorno podpira rotacijo ključev, razvijalci pa lahko nadgradijo s podpisne sheme v2 na v3.
Predlagani ukrep, ki ga je podal poročevalec na APVI, je, da bi morale "vse prizadete strani zamenjati potrdilo platforme tako, da ga nadomestijo z novim nizom javnih in zasebnih ključev. Poleg tega bi morali opraviti notranjo preiskavo, da bi odkrili vzrok težave in ukrepali, da bi preprečili, da bi se incident zgodil v prihodnosti."
"Močno priporočamo tudi zmanjšanje števila aplikacij, podpisanih s certifikatom platforme, saj bo občutno znižati stroške vrtljivih ključev platforme, če bi se v prihodnosti zgodil podoben incident," je dejal zaključuje.
Ko smo se obrnili na Samsung, smo od tiskovnega predstavnika podjetja prejeli naslednji odgovor.
Samsung jemlje varnost naprav Galaxy resno. Varnostne popravke izdajamo od leta 2016, ko smo bili seznanjeni s težavo, in ni bilo znanih varnostnih incidentov v zvezi s to potencialno ranljivostjo. Uporabnikom vedno priporočamo, da svoje naprave posodabljajo z najnovejšimi posodobitvami programske opreme.
Zdi se, da zgornji odgovor potrjuje, da je podjetje vedelo za to razkrito potrdilo od leta 2016, čeprav trdi, da ni bilo znanih varnostnih incidentov v zvezi z ranljivostjo. Vendar ni jasno, kaj je še naredilo, da bi zaprlo to ranljivost, glede na to, da je zlonamerna programska oprema je bil prvič predložen VirusTotalu leta 2016, zdi se, da je zagotovo v naravi nekje.
Za komentar smo se obrnili na MediaTek in Google in vas bomo obvestili, ko se bomo oglasili.
POSODOBITEV: 2022/12/02 12:45 EST AVTOR: ADAM CONWAY
Google odgovarja
Google nam je dal naslednjo izjavo.
Partnerji OEM so nemudoma uvedli ukrepe za ublažitev, takoj ko smo poročali o ključnem kompromisu. Končni uporabniki bodo zaščiteni z ublažitvami za uporabnike, ki jih izvajajo partnerji OEM. Google je implementiral široko zaznavanje zlonamerne programske opreme v zbirki Build Test Suite, ki pregleduje sistemske slike. Google Play Protect zazna tudi zlonamerno programsko opremo. Nič ne kaže, da je ali je bila ta zlonamerna programska oprema v trgovini Google Play. Kot vedno uporabnikom svetujemo, naj zagotovijo, da uporabljajo najnovejšo različico Androida.