การรั่วไหลของคีย์ Android OEM หมายถึง "การอัปเดต" ที่ไซด์โหลดอาจซ่อนมัลแวร์ร้ายแรง

มือถือJul 20, 2023
click fraud protection

Samsung, LG และ MediaTek เป็นหนึ่งในบริษัทที่ได้รับผลกระทบ

สิ่งสำคัญของการรักษาความปลอดภัยสมาร์ทโฟน Android คือขั้นตอนการลงนามแอปพลิเคชัน เป็นวิธีหลักในการรับประกันว่าการอัปเดตแอปใดๆ มาจากผู้พัฒนาเดิม เนื่องจากคีย์ที่ใช้ลงชื่อแอปพลิเคชันควรได้รับการเก็บเป็นความลับเสมอ ใบรับรองแพลตฟอร์มเหล่านี้จำนวนหนึ่งจาก Samsung, MediaTek, LG และ Revoview ดูเหมือนจะรั่วไหล และที่แย่กว่านั้นคือถูกใช้เพื่อลงชื่อมัลแวร์ สิ่งนี้ได้รับการเปิดเผยผ่าน Android Partner Vulnerability Initiative (APVI) และใช้กับการอัปเดตแอปเท่านั้น ไม่ใช่ OTA

เมื่อการเซ็นชื่อคีย์รั่ว ในทางทฤษฎีแล้ว ผู้โจมตีสามารถเซ็นชื่อแอปที่เป็นอันตรายด้วยคีย์การเซ็นชื่อ และแจกจ่ายเป็น "การอัปเดต" ไปยังแอปบนโทรศัพท์ของใครบางคน สิ่งที่คุณต้องทำคือไซด์โหลดการอัปเดตจากไซต์ของบุคคลที่สาม ซึ่งสำหรับผู้ที่ชื่นชอบเป็นประสบการณ์ที่ค่อนข้างธรรมดา ในกรณีดังกล่าว ผู้ใช้จะให้สิทธิ์การเข้าถึงมัลแวร์ในระดับระบบปฏิบัติการ Android โดยไม่รู้ตัว เนื่องจากแอปที่เป็นอันตรายเหล่านี้สามารถใช้ UID และอินเทอร์เฟซที่ใช้ร่วมกันของ Android กับระบบ "android" กระบวนการ.

"ใบรับรองแพลตฟอร์มคือใบรับรองการลงนามแอปพลิเคชันที่ใช้เพื่อลงนามแอปพลิเคชัน "android" บนอิมเมจระบบ แอปพลิเคชัน "android" ทำงานด้วยรหัสผู้ใช้ที่มีสิทธิพิเศษสูง - android.uid.system - และมีสิทธิ์ของระบบ รวมถึงสิทธิ์ในการเข้าถึงข้อมูลผู้ใช้ แอปพลิเคชันอื่นใดที่เซ็นชื่อด้วยใบรับรองเดียวกันสามารถประกาศได้ว่าต้องการรันด้วยผู้ใช้คนเดียวกัน id ทำให้สามารถเข้าถึงระบบปฏิบัติการ Android ได้ในระดับเดียวกัน" นักข่าวใน APVI อธิบาย ใบรับรองเหล่านี้เป็นใบรับรองเฉพาะของผู้จำหน่าย โดยใบรับรองบนอุปกรณ์ Samsung จะแตกต่างจากใบรับรองบนอุปกรณ์ LG แม้ว่าจะใช้ในการลงชื่อแอปพลิเคชัน "android" ก็ตาม

ตัวอย่างมัลแวร์เหล่านี้ค้นพบโดย Łukasz Siewierski วิศวกรย้อนกลับของ Google Siewierski แบ่งปันแฮช SHA256 ของตัวอย่างมัลแวร์แต่ละรายการและใบรับรองการลงนาม และเราสามารถดูตัวอย่างเหล่านั้นบน VirusTotal ยังไม่เป็นที่แน่ชัดว่าพบตัวอย่างเหล่านั้นที่ใด และเคยเผยแพร่บน Google Play Store, ไซต์แบ่งปัน APK เช่น APKMirror หรือที่อื่นๆ หรือไม่ รายการชื่อแพ็คเกจของมัลแวร์ที่ลงนามด้วยใบรับรองแพลตฟอร์มเหล่านี้อยู่ด้านล่าง อัปเดต: Google แจ้งว่าไม่พบมัลแวร์นี้ใน Google Play Store

  • com.vantage.ectronic.cornmuni
  • com.russian.signato.renewis
  • com.sledsdffsjkh. ค้นหา
  • com.android.power
  • com.management.propaganda
  • com.sec.android.musicplayer
  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage

ในรายงานระบุว่า "ทุกฝ่ายที่ได้รับผลกระทบได้รับทราบข้อค้นพบและได้ดำเนินมาตรการแก้ไขแล้ว เพื่อลดผลกระทบต่อผู้ใช้" อย่างไรก็ตาม อย่างน้อยในกรณีของ Samsung ดูเหมือนว่าใบรับรองเหล่านี้ยังคงอยู่ ใช้. ค้นหาบน APKMirror สำหรับใบรับรองที่รั่วไหลแสดงการอัปเดตตั้งแต่ทุกวันนี้ที่แจกจ่ายด้วยคีย์การลงนามที่รั่วไหลเหล่านี้

น่าเป็นห่วง หนึ่งในตัวอย่างมัลแวร์ที่ลงนามด้วยใบรับรองของ Samsung ถูกส่งเข้ามาครั้งแรกในปี 2559 ไม่ชัดเจนว่าใบรับรองของ Samsung ตกอยู่ในมือผู้ไม่ประสงค์ดีเป็นเวลาหกปีหรือไม่ แม้แต่ความชัดเจนในเวลานี้ก็คือ ยังไง ใบรับรองเหล่านี้ได้รับการเผยแพร่อย่างแพร่หลายและหากเกิดความเสียหายขึ้นแล้ว ผู้คนอัปเดตแอปไซด์โหลดตลอดเวลาและพึ่งพาระบบการลงนามใบรับรองเพื่อให้แน่ใจว่าการอัปเดตแอปเหล่านั้นถูกต้องตามกฎหมาย

สำหรับสิ่งที่บริษัทสามารถทำได้ วิธีที่ดีที่สุดคือการหมุนเวียนคีย์ APK Signing Scheme v3 ของ Android รองรับการหมุนเวียนคีย์โดยกำเนิดและนักพัฒนาสามารถอัปเกรดจาก Signing Scheme v2 เป็น v3

การดำเนินการที่แนะนำโดยนักข่าวใน APVI คือ "ทุกฝ่ายที่ได้รับผลกระทบควรหมุนเวียนใบรับรองแพลตฟอร์มโดยแทนที่ด้วยคีย์สาธารณะและคีย์ส่วนตัวชุดใหม่ นอกจากนี้ พวกเขาควรทำการสอบสวนภายในเพื่อหาต้นตอของปัญหาและดำเนินการเพื่อป้องกันไม่ให้เหตุการณ์เกิดขึ้นอีกในอนาคต”

"เราขอแนะนำอย่างยิ่งให้ลดจำนวนแอปพลิเคชันที่ลงนามด้วยใบรับรองแพลตฟอร์มให้น้อยที่สุดเท่าที่จะทำได้ ค่าใช้จ่ายในการหมุนเวียนคีย์ของแพลตฟอร์มจะถูกลงอย่างมาก หากเหตุการณ์ที่คล้ายกันนี้เกิดขึ้นในอนาคต" สรุป

เมื่อเราติดต่อกับ Samsung เราได้รับคำตอบต่อไปนี้จากโฆษกของบริษัท

Samsung ให้ความสำคัญกับความปลอดภัยของอุปกรณ์ Galaxy อย่างจริงจัง เราได้ออกแพตช์ความปลอดภัยมาตั้งแต่ปี 2559 เมื่อได้รับทราบถึงปัญหาดังกล่าว และไม่มีเหตุการณ์ด้านความปลอดภัยที่ทราบเกี่ยวกับช่องโหว่ที่อาจเกิดขึ้นนี้ เราขอแนะนำให้ผู้ใช้อัปเดตอุปกรณ์ให้ทันสมัยอยู่เสมอด้วยการอัปเดตซอฟต์แวร์ล่าสุด

คำตอบข้างต้นดูเหมือนจะยืนยันว่าบริษัททราบเกี่ยวกับใบรับรองที่รั่วไหลนี้ตั้งแต่ปี 2559 แม้ว่าจะอ้างว่าไม่มีเหตุการณ์ด้านความปลอดภัยที่ทราบเกี่ยวกับช่องโหว่ก็ตาม อย่างไรก็ตาม ยังไม่ชัดเจนว่าได้ทำอะไรอีกบ้างเพื่อปิดช่องโหว่ดังกล่าว และเนื่องจากมัลแวร์ดังกล่าว ถูกส่งไปยัง VirusTotal เป็นครั้งแรกในปี 2559 ดูเหมือนว่ามันจะไม่เป็นไปตามธรรมชาติอย่างแน่นอน ที่ไหนสักแห่ง.

เราได้ติดต่อกับ MediaTek และ Google เพื่อแสดงความคิดเห็นและจะอัปเดตให้คุณทราบเมื่อเราได้รับการตอบกลับ

อัปเดต: 2022/12/02 12:45 EST โดย ADAM CONWAY

Google ตอบกลับ

Google ได้ให้คำชี้แจงต่อไปนี้แก่เรา

พันธมิตร OEM ดำเนินการมาตรการลดผลกระทบทันทีที่เรารายงานการประนีประนอมที่สำคัญ ผู้ใช้จะได้รับการคุ้มครองโดยการบรรเทาผู้ใช้ที่ดำเนินการโดยพันธมิตร OEM Google ได้ทำการตรวจจับมัลแวร์แบบกว้างๆ ใน ​​Build Test Suite ซึ่งจะสแกนอิมเมจของระบบ Google Play Protect ยังตรวจพบมัลแวร์อีกด้วย ไม่มีการบ่งชี้ว่ามัลแวร์นี้อยู่ใน Google Play Store และเช่นเคย เราแนะนำให้ผู้ใช้ตรวจสอบให้แน่ใจว่าผู้ใช้ใช้ Android เวอร์ชันล่าสุด