Серед постраждалих компаній Samsung, LG і MediaTek.
Вирішальним аспектом безпеки смартфона Android є процес підписання програми. По суті, це спосіб гарантувати, що будь-які оновлення програми надходять від початкового розробника, оскільки ключ, який використовується для підпису програм, завжди має бути закритим. Деякі з цих сертифікатів платформ, як-от Samsung, MediaTek, LG і Revoview, здається, просочилися, і, що ще гірше, використовувалися для підпису зловмисного програмного забезпечення. Це було розкрито через Android Partner Vulnerability Initiative (APVI) і стосується лише оновлень програм, а не OTA.
Під час витоку ключів підпису зловмисник теоретично може підписати шкідливу програму ключем підпису та розповсюдити його як «оновлення» програми на чийсь телефон. Все, що потрібно зробити людині, це завантажити оновлення зі стороннього сайту, що для ентузіастів є досить поширеним досвідом. У такому випадку користувач несвідомо надасть доступ до зловмисного програмного забезпечення на рівні операційної системи Android, оскільки ці шкідливі програми можуть використовувати спільний UID та інтерфейс Android із системою «android». процес.
«Сертифікат платформи — це сертифікат підпису програми, який використовується для підпису програми «android» на образі системи. Додаток «android» працює з ідентифікатором користувача з високим рівнем привілеїв - android.uid.system - і має системні дозволи, включаючи дозволи на доступ до даних користувача. Будь-яка інша програма, підписана тим самим сертифікатом, може заявити, що вона хоче працювати з тим самим користувачем id, надаючи йому такий же рівень доступу до операційної системи Android», – пояснює кореспондент APVI. Ці сертифікати залежать від постачальника, оскільки сертифікат на пристрої Samsung буде відрізнятися від сертифіката на пристрої LG, навіть якщо вони використовуються для підпису програми «android».
Ці зразки зловмисного програмного забезпечення виявив Лукаш Сєвєрскі, реверс-інженер Google. Siewierski поділився хешами SHA256 кожного зразка зловмисного програмного забезпечення та їхніх сертифікатів підпису, і ми змогли переглянути ці зразки на VirusTotal. Незрозуміло, де були знайдені ці зразки та чи поширювалися вони раніше в Google Play Store, на сайтах обміну файлами APK, як-от APKMirror, чи деінде. Нижче наведено список імен пакетів зловмисного програмного забезпечення, підписаних цими сертифікатами платформи. Оновлення: Google каже, що це шкідливе програмне забезпечення не було виявлено в Google Play Store.
- com.vantage.ectronic.cornmuni
- com.russian.signato.renewis
- com.sledsdffsjkh. Пошук
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
У звіті йдеться, що «всі постраждалі сторони були поінформовані про виявлені факти та вжили заходів щодо відновлення щоб мінімізувати вплив на користувачів". Однак, принаймні у випадку Samsung, здається, що ці сертифікати все ще діють використовувати. Пошук на APKMirror оскільки його сертифікат, який витік, показує оновлення, які навіть сьогодні розповсюджуються з цими ключами підпису.
Викликає занепокоєння те, що один із зразків зловмисного програмного забезпечення, який був підписаний сертифікатом Samsung, вперше був представлений у 2016 році. Незрозуміло, чи були сертифікати Samsung тому в зловмисних руках протягом шести років. На даний момент це ще менш ясно як ці сертифікати були поширені в дикій природі, і якщо в результаті вже було завдано будь-якої шкоди. Люди постійно завантажують оновлення додатків і покладаються на систему підпису сертифікатів, щоб переконатися, що ці оновлення додатків є законними.
Що стосується того, що можуть зробити компанії, то найкращим шляхом уперед є ротація ключів. Схема підпису APK Android v3 підтримує ротацію ключів, і розробники можуть оновити схему підпису v2 до v3.
Репортер APVI пропонує такі дії: «Усі зацікавлені сторони повинні змінити сертифікат платформи, замінивши його новим набором відкритих і закритих ключів. Крім того, вони повинні провести внутрішнє розслідування, щоб знайти першопричину проблеми та вжити заходів, щоб запобігти інциденту в майбутньому».
«Ми також настійно рекомендуємо мінімізувати кількість програм, підписаних сертифікатом платформи, оскільки це буде так значно знизити вартість обертання ключів платформи, якщо подібний інцидент станеться в майбутньому", - йдеться в повідомленні робить висновок.
Коли ми звернулися до Samsung, прес-секретар компанії дав нам наступну відповідь.
Samsung серйозно ставиться до безпеки пристроїв Galaxy. Ми випускаємо виправлення безпеки з 2016 року, коли нам стало відомо про проблему, і не було відомих інцидентів безпеки, пов’язаних із цією потенційною вразливістю. Ми завжди рекомендуємо користувачам постійно оновлювати програмне забезпечення на своїх пристроях.
Наведена вище відповідь, здається, підтверджує, що компанія знала про цей витік сертифіката з 2016 року, хоча вона стверджує, що не було відомих інцидентів безпеки щодо вразливості. Однак незрозуміло, що ще було зроблено для усунення цієї вразливості, враховуючи шкідливе програмне забезпечення був вперше представлений на VirusTotal у 2016 році, здавалося б, що він точно в дикій природі десь.
Ми звернулися до MediaTek і Google для коментарів і повідомимо вас, коли отримаємо відповідь.
ОНОВЛЕННЯ: 2022/12/02 12:45 EST АДАМ КОНВЕЙ
Google відповідає
Google надав нам наступну заяву.
Партнери-виробники обладнання негайно вжили заходів щодо пом’якшення наслідків, щойно ми повідомили про ключовий компромет. Кінцеві користувачі будуть захищені засобами захисту від користувачів, реалізованими OEM-партнерами. Google запровадив широке виявлення зловмисного програмного забезпечення в Build Test Suite, який сканує системні образи. Google Play Protect також виявляє зловмисне програмне забезпечення. Немає жодних ознак того, що це зловмисне програмне забезпечення є або було в магазині Google Play. Як завжди, ми радимо користувачам переконатися, що вони використовують останню версію Android.