Samsung, LG och MediaTek är bland de drabbade företagen.
En avgörande aspekt av Android-smarttelefonsäkerhet är applikationssigneringsprocessen. Det är i huvudsak ett sätt att garantera att alla appuppdateringar kommer från den ursprungliga utvecklaren, eftersom nyckeln som används för att signera applikationer alltid ska hållas privat. Ett antal av dessa plattformscertifikat från sådana som Samsung, MediaTek, LG och Revoview verkar ha läckt ut, och ännu värre, använts för att signera skadlig programvara. Detta avslöjades genom Android Partner Vulnerability Initiative (APVI) och gäller endast appuppdateringar, inte OTA.
När signeringsnycklar läcker kan en angripare i teorin signera en skadlig app med en signeringsnyckel och distribuera den som en "uppdatering" till en app på någons telefon. Allt en person skulle behöva göra var att ladda en uppdatering från en tredjepartswebbplats, vilket för entusiaster är en ganska vanlig upplevelse. I det fallet skulle användaren omedvetet ge Android-operativsystem-nivå åtkomst till skadlig programvara, eftersom dessa skadliga appar kan använda Androids delade UID och gränssnitt med "android"-systemet bearbeta.
"Ett plattformscertifikat är det applikationssigneringscertifikat som används för att signera "android"-applikationen på systembilden. "Android"-applikationen körs med ett mycket privilegierat användar-id - android.uid.system - och har systembehörigheter, inklusive behörigheter att komma åt användardata. Alla andra applikationer signerade med samma certifikat kan förklara att de vill köra med samma användare id, vilket ger den samma nivå av åtkomst till Android-operativsystemet," förklarar reportern på APVI. Dessa certifikat är leverantörsspecifika, eftersom certifikatet på en Samsung-enhet kommer att skilja sig från certifikatet på en LG-enhet, även om de används för att signera "android"-applikationen.
Dessa skadliga prover upptäcktes av Łukasz Siewierski, en omvänd tekniker på Google. Siewierski delade SHA256-hashar för vart och ett av proverna av skadlig programvara och deras signeringscertifikat, och vi kunde se dessa exempel på VirusTotal. Det är inte klart var dessa prover hittades och om de tidigare distribuerats på Google Play Butik, APK-delningssajter som APKMirror eller någon annanstans. Listan över paketnamn för skadlig programvara som signerats med dessa plattformscertifikat finns nedan. Uppdatering: Google säger att denna skadliga programvara inte upptäcktes i Google Play Butik.
- com.vantage.lectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Sök
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
I rapporten står det att "Alla berörda parter informerades om fynden och har vidtagit saneringsåtgärder för att minimera användarens påverkan." Åtminstone när det gäller Samsung verkar det som om dessa certifikat fortfarande finns i använda sig av. Söker på APKMirror för dess läckta certifikat visar uppdateringar från än idag som distribueras med dessa läckta signeringsnycklar.
Oroväckande nog skickades ett av de skadliga proverna som signerades med Samsungs certifikat först 2016. Det är oklart om Samsungs certifikat därför har varit i illvilliga händer i sex år. Ännu mindre tydlig vid denna tidpunkt är hur dessa certifikat har cirkulerat i naturen och om det redan har skett någon skada som ett resultat. Människor sidlastar appuppdateringar hela tiden och litar på certifikatsigneringssystemet för att säkerställa att dessa appuppdateringar är legitima.
När det gäller vad företag kan göra är den bästa vägen framåt en nyckelrotation. Androids APK Signing Scheme v3 stöder nyckelrotation inbyggt, och utvecklare kan uppgradera från Signing Scheme v2 till v3.
Den föreslagna åtgärden från reportern på APVI är att "Alla berörda parter bör rotera plattformscertifikatet genom att ersätta det med en ny uppsättning offentliga och privata nycklar. Dessutom bör de genomföra en intern utredning för att hitta grundorsaken till problemet och vidta åtgärder för att förhindra att incidenten inträffar i framtiden."
"Vi rekommenderar också starkt att minimera antalet ansökningar som signeras med plattformscertifikatet, eftersom det kommer att göra det avsevärt sänka kostnaden för roterande plattformsnycklar om en liknande incident skulle inträffa i framtiden." avslutar.
När vi kontaktade Samsung fick vi följande svar från en talesperson för företaget.
Samsung tar säkerheten för Galaxy-enheter på allvar. Vi har utfärdat säkerhetskorrigeringar sedan 2016 efter att ha blivit medvetna om problemet, och det har inte förekommit några kända säkerhetsincidenter angående denna potentiella sårbarhet. Vi rekommenderar alltid att användarna håller sina enheter uppdaterade med de senaste programuppdateringarna.
Ovanstående svar verkar bekräfta att företaget har känt till detta läckta certifikat sedan 2016, även om det hävdar att det inte har förekommit några kända säkerhetsincidenter angående sårbarheten. Det är dock inte klart vad den har gjort för att stänga den sårbarheten, och med tanke på att skadlig programvara först skickades till VirusTotal 2016, verkar det som att det definitivt är ute i naturen någonstans.
Vi har kontaktat MediaTek och Google för kommentarer och kommer att uppdatera dig när vi hör tillbaka.
UPPDATERING: 2022/12/02 12:45 EST AV ADAM CONWAY
Google svarar
Google har gett oss följande uttalande.
OEM-partners implementerade omedelbart begränsningsåtgärder så snart vi rapporterade den viktigaste kompromissen. Slutanvändare kommer att skyddas av användarbegränsningar implementerade av OEM-partner. Google har implementerat breda upptäckter för skadlig programvara i Build Test Suite, som skannar systembilder. Google Play Protect upptäcker också skadlig programvara. Det finns inga tecken på att denna skadliga programvara finns eller fanns i Google Play Butik. Som alltid råder vi användare att se till att de kör den senaste versionen av Android.