Цурење Андроид ОЕМ кључа значи да би „ажурирања“ са стране учитана могла да крију озбиљан малвер

Самсунг, ЛГ и МедиаТек су међу погођеним компанијама.

Кључни аспект безбедности Андроид паметног телефона је процес потписивања апликације. То је у суштини начин да се гарантује да сва ажурирања апликације долазе од оригиналног програмера, јер кључ који се користи за потписивање апликација увек треба да буде приватан. Чини се да су неки од ових сертификата платформе попут Самсунг-а, МедиаТек-а, ЛГ-а и Ревовиев-а процурили, и што је још горе, коришћени су за потписивање злонамерног софтвера. Ово је откривено кроз иницијативу за рањивост Андроид партнера (АПВИ) и односи се само на ажурирања апликација, а не на ОТА.

Када кључеви за потписивање процуре, нападач би теоретски могао да потпише злонамерну апликацију помоћу кључа за потписивање и дистрибуира је као „ажурирање“ за апликацију на нечијем телефону. Све што би особа требало да уради је да учита ажурирање са сајта треће стране, што је за ентузијасте прилично уобичајено искуство. У том случају, корисник би несвесно давао приступ малверу на нивоу оперативног система Андроид, јер ове злонамерне апликације могу да користе Андроид-ов дељени УИД и интерфејс са „андроид“ системом процес.

„Сертификат платформе је сертификат за потписивање апликације који се користи за потписивање „андроид“ апликације на слици система. Апликација „андроид“ ради са високо привилегованим корисничким ИД-ом – андроид.уид.систем – и има системске дозволе, укључујући дозволе за приступ корисничким подацима. Свака друга апликација потписана истим сертификатом може изјавити да жели да се покреће са истим корисником ид, дајући му исти ниво приступа Андроид оперативном систему“, објашњава репортер АПВИ. Ови сертификати су специфични за продавца, по томе што ће се сертификат на Самсунг уређају разликовати од сертификата на ЛГ уређају, чак и ако се користе за потписивање „андроид“ апликације.

Ове узорке злонамерног софтвера открио је Łукасз Сиевиерски, обрнути инжењер у Гоогле-у. Сиевиерски је поделио СХА256 хешове сваког узорка малвера и њихове сертификате за потписивање, а ми смо могли да видимо те узорке на ВирусТотал-у. Није јасно где су ти узорци пронађени и да ли су претходно дистрибуирани у Гоогле Плаи продавници, на сајтовима за дељење АПК-а као што је АПКМиррор или негде другде. Листа назива пакета малвера потписаних са овим сертификатима платформе је испод. Ажурирање: Гоогле каже да овај малвер није откривен у Гоогле Плаи продавници.

  • цом.вантаге.ецтрониц.цорнмуни
  • цом.руссиан.сигнато.реневис
  • цом.следсдффсјкх. Претрага
  • цом.андроид.повер
  • ком.менаџмент.пропаганда
  • цом.сец.андроид.мусицплаиер
  • цом.хоула.куицкен
  • цом.аттд.да
  • цом.арло.фаппк
  • цом.метасплоит.стаге

У извештају се наводи да су „све погођене стране обавештене о налазима и да су предузеле мере санације. да би се утицај корисника свео на минимум." Међутим, барем у случају Самсунг-а, чини се да су ови сертификати још увек присутни користити. Претраживање на АПКМиррор-у јер његов сертификат који је процурио показује ажурирања од данас која се дистрибуирају са овим процурелим кључевима за потписивање.

Забрињавајуће је да је један од узорака малвера који је потписан Самсунговим сертификатом први пут достављен 2016. Нејасно је да ли су Самсунг-ови сертификати због тога у злонамерним рукама већ шест година. Још мање је јасно у овом тренутку како ови сертификати су циркулисани у дивљини и ако је због тога већ настала штета. Људи учитавају ажурирања апликације све време и ослањају се на систем потписивања сертификата како би били сигурни да су та ажурирања апликација легитимна.

Што се тиче онога што компаније могу да ураде, најбољи пут напред је кључна ротација. Андроид-ова шема потписивања АПК-а в3 подржава ротацију кључева, а програмери могу да надограде са шеме потписивања в2 на в3.

Предложена радња коју је дао извештач на АПВИ је да „Све погођене стране треба да ротирају сертификат платформе тако што ће га заменити новим скупом јавних и приватних кључева. Поред тога, требало би да спроведу интерну истрагу како би пронашли основни узрок проблема и предузели кораке како би спречили да се инцидент догоди у будућности."

„Такође снажно препоручујемо да минимизирате број апликација потписаних са сертификатом платформе, као што ће бити значајно снизити цену ротирајућих кључева платформе ако се сличан инцидент догоди у будућности“, наводи се закључује.

Када смо контактирали Самсунг, портпарол компаније нам је дао следећи одговор.

Самсунг озбиљно схвата безбедност Галаки уређаја. Издавали смо безбедносне закрпе од 2016. након што смо обавештени о проблему и није било познатих безбедносних инцидената у вези са овом потенцијалном рањивости. Корисницима увек препоручујемо да ажурирају своје уређаје са најновијим ажурирањима софтвера.

Чини се да горњи одговор потврђује да компанија зна за овај сертификат који је процурио од 2016. године, иако тврди да није било познатих безбедносних инцидената у вези са рањивости. Међутим, није јасно шта је још урадио да затвори ту рањивост, с обзиром на то да је малвер је први пут достављен ВирусТотал-у 2016. године, чини се да је дефинитивно у дивљини негде.

Контактирали смо МедиаТек и Гоогле за коментар и обавестићемо вас када добијемо одговор.

АЖУРИРАЊЕ: 2022/12/02 12:45 ЕСТ ОД АДАМ ЦОНВАИ

Гоогле одговара

Гугл нам је дао следећу изјаву.

ОЕМ партнери су одмах применили мере за ублажавање чим смо пријавили кључни компромис. Крајњи корисници ће бити заштићени ублажавањем утицаја корисника које имплементирају ОЕМ партнери. Гоогле је имплементирао широку детекцију малвера у Буилд Тест Суите, који скенира системске слике. Гоогле Плаи заштита такође открива малвер. Нема назнака да се овај малвер налази или је био у Гоогле Плаи продавници. Као и увек, саветујемо корисницима да се увере да користе најновију верзију Андроид-а.