Samsung, LG ve MediaTek etkilenen şirketler arasında yer alıyor.
Android akıllı telefon güvenliğinin çok önemli bir yönü, uygulama imzalama sürecidir. Uygulamaları imzalamak için kullanılan anahtarın her zaman gizli tutulması gerektiğinden, esasen herhangi bir uygulama güncellemesinin orijinal geliştiriciden geldiğini garanti etmenin bir yoludur. Samsung, MediaTek, LG ve Revoview gibi platform sertifikalarından bazıları sızdırılmış ve daha da kötüsü kötü amaçlı yazılımları imzalamak için kullanılmış gibi görünüyor. Bu, Android Partner Vulnerability Initiative (APVI) aracılığıyla ifşa edildi ve yalnızca uygulama güncellemeleri için geçerli, OTA'lar için geçerli değil.
İmza anahtarları sızdırıldığında, bir saldırgan teorik olarak kötü amaçlı bir uygulamayı bir imzalama anahtarıyla imzalayabilir ve bunu birinin telefonundaki bir uygulamaya "güncelleme" olarak dağıtabilir. Bir kişinin yapması gereken tek şey, meraklılar için oldukça yaygın bir deneyim olan üçüncü taraf bir siteden bir güncelleme yüklemekti. Bu durumda, kullanıcı bilmeden kötü amaçlı yazılımlara Android işletim sistemi düzeyinde erişim izni veriyor olacaktır. çünkü bu kötü amaçlı uygulamalar, Android'in paylaşılan UID'sini ve "android" sistemiyle arabirimini kullanabilir. işlem.
"Platform sertifikası, sistem görüntüsündeki "android" uygulamasını imzalamak için kullanılan uygulama imzalama sertifikasıdır. "Android" uygulaması, oldukça ayrıcalıklı bir kullanıcı kimliğiyle - android.uid.system - çalışır ve kullanıcı verilerine erişim izinleri de dahil olmak üzere sistem izinlerini elinde tutar. Aynı sertifika ile imzalanmış diğer herhangi bir uygulama, aynı kullanıcı ile çalışmak istediğini beyan edebilir. id, Android işletim sistemine aynı düzeyde erişim sağlıyor," diye açıklıyor APVI muhabiri. Bu sertifikalar, "android" uygulamasını imzalamak için kullanılsalar bile bir Samsung cihazındaki sertifikanın bir LG cihazındaki sertifikadan farklı olacağından satıcıya özeldir.
Bu kötü amaçlı yazılım örnekleri, Google'da tersine mühendislik yapan Łukasz Siewierski tarafından keşfedildi. Siewierski, kötü amaçlı yazılım örneklerinin her birinin SHA256 karmalarını ve imzalama sertifikalarını paylaştı ve biz de bu örnekleri VirusTotal'da görebildik. Bu örneklerin nerede bulunduğu ve daha önce Google Play Store'da mı, APKMirror gibi APK paylaşım sitelerinde mi yoksa başka bir yerde mi dağıtıldığı net değil. Bu platform sertifikalarıyla imzalanan kötü amaçlı yazılımların paket adlarının listesi aşağıdadır. Güncelleme: Google, bu kötü amaçlı yazılımın Google Play Store'da tespit edilmediğini söylüyor.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Aramak
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
Raporda, "Etkilenen tüm taraflar bulgulardan haberdar edildi ve iyileştirme önlemleri alındı. kullanıcı etkisini en aza indirmek için." Bununla birlikte, en azından Samsung söz konusu olduğunda, bu sertifikaların hala geçerli olduğu görülüyor. kullanmak. APKMirror'da arama çünkü sızdırılmış sertifikası, bugün bile bu sızdırılmış imzalama anahtarlarıyla dağıtılan güncellemeleri gösteriyor.
Endişe verici bir şekilde, Samsung sertifikasıyla imzalanan kötü amaçlı yazılım örneklerinden biri ilk olarak 2016'da sunuldu. Bu nedenle Samsung'un sertifikalarının altı yıldır kötü niyetli ellerde olup olmadığı belli değil. Zamanın bu noktasında daha da az net olan, Nasıl bu sertifikalar vahşi ortamda dağıtıldı ve sonuç olarak zaten herhangi bir hasar verildiyse. İnsanlar her zaman uygulama güncellemelerini dışarıdan yükler ve bu uygulama güncellemelerinin meşru olduğundan emin olmak için sertifika imzalama sistemine güvenir.
Şirketlerin neler yapabileceğine gelince, ilerlemenin en iyi yolu anahtar rotasyonudur. Android'in APK İmzalama Şeması v3, yerel olarak anahtar rotasyonunu desteklerve geliştiriciler Signing Scheme v2'den v3'e yükseltme yapabilir.
Muhabir tarafından APVI'da önerilen eylem şudur: "Etkilenen tüm taraflar, platform sertifikasını yeni bir genel ve özel anahtar grubuyla değiştirerek döndürmeli. Ek olarak, sorunun temel nedenini bulmak için bir iç soruşturma yürütmeli ve olayın gelecekte olmasını önlemek için adımlar atmalıdırlar."
"Ayrıca platform sertifikasıyla imzalanan başvuruların sayısını en aza indirmenizi şiddetle tavsiye ederiz, çünkü bu Gelecekte benzer bir olayın meydana gelmesi durumunda platform anahtarlarını döndürmenin maliyetini önemli ölçüde azaltın." sonuçlandırır.
Samsung'a ulaştığımızda, bir şirket sözcüsü tarafından bize aşağıdaki yanıt verildi.
Samsung, Galaxy cihazlarının güvenliğini ciddiye alır. Sorundan haberdar olmamızın ardından 2016'dan beri güvenlik yamaları yayınladık ve bu potansiyel güvenlik açığıyla ilgili bilinen herhangi bir güvenlik olayı olmadı. Kullanıcıların her zaman cihazlarını en son yazılım güncellemeleriyle güncel tutmalarını öneririz.
Yukarıdaki yanıt, güvenlik açığıyla ilgili bilinen herhangi bir güvenlik olayı olmadığını iddia etse de, şirketin 2016'dan beri sızdırılan bu sertifikadan haberdar olduğunu doğruluyor gibi görünüyor. Ancak, bu güvenlik açığını kapatmak için başka ne yaptığı ve kötü amaçlı yazılımın VirusTotal'a ilk kez 2016'da sunuldu, görünüşe göre kesinlikle ortalıkta dolaşıyor bir yerde.
Yorum için MediaTek ve Google'a ulaştık ve yanıt aldığımızda sizi bilgilendireceğiz.
GÜNCELLEME: 2022/12/02 12:45 EST TARAFINDAN ADAM CONWAY
Google yanıt verir
Google bize şu açıklamayı yaptı.
OEM iş ortakları, temel uzlaşmayı bildirir bildirmez hafifletme önlemlerini derhal uygulamaya koydu. Son kullanıcılar, OEM iş ortakları tarafından uygulanan kullanıcı hafifletmeleriyle korunacaktır. Google, sistem görüntülerini tarayan Build Test Suite'te kötü amaçlı yazılım için kapsamlı tespitler gerçekleştirdi. Google Play Protect ayrıca kötü amaçlı yazılımı da algılar. Bu kötü amaçlı yazılımın Google Play Store'da bulunduğuna veya bulunduğuna dair hiçbir gösterge yok. Her zaman olduğu gibi, kullanıcılara Android'in en son sürümünü çalıştırdıklarından emin olmalarını tavsiye ediyoruz.