Unikol podpisový kľúč aplikácie Samsung pre Android a používa sa na podpisovanie škodlivého softvéru

Kryptografický podpisový kľúč vývojára je jedným z najdôležitejších pilierov zabezpečenia systému Android. Kedykoľvek Android aktualizuje aplikáciu, podpisový kľúč starej aplikácie vo vašom telefóne sa musí zhodovať s kľúčom aktualizácie, ktorú inštalujete. Zodpovedajúce kľúče zaisťujú, že aktualizácia skutočne pochádza od spoločnosti, ktorá pôvodne vytvorila vašu aplikáciu, a nejde o škodlivú schému únosu. Ak dôjde k úniku podpisového kľúča vývojára, ktokoľvek môže distribuovať aktualizácie škodlivých aplikácií a Android ich rád nainštaluje, pretože si myslí, že sú legitímne.

V systéme Android sa proces aktualizácie aplikácií neobmedzuje len na aplikácie stiahnuté z App Store, ale aj na pribalené systémové aplikácie od spoločnosti Google, výrobcu vášho zariadenia a akékoľvek iné pribalené aplikácie. Zatiaľ čo stiahnuté aplikácie majú prísny súbor povolení a ovládacích prvkov, pribalené aplikácie pre Android majú prístup k výkonnejším a invazívnejším povoleniam a nepodliehajú zvyčajným obmedzeniam Obchodu Play (preto sa Facebook vždy snaží byť pribalenou aplikáciou). Ak vývojár tretej strany stratí svoj podpisový kľúč, bolo by to zlé. keby to bolo Android OEM Stratil som podpisový kľúč systémovej aplikácie, bolo by to naozaj zlé.

Hádajte, čo sa stalo! Łukasz Siewierski, člen bezpečnostného tímu Google pre Android, má príspevok na Android Partner Issue Tracker (AVPI) s podrobnosťami Uniknuté kľúče certifikátu platformy ktoré sa aktívne používajú na podpisovanie malvéru. Príspevok je len zoznam prepínačov, no každý je zapnutý APKMirror alebo google VirusTotal Stránka zobrazí názvy niektorých napadnutých kľúčov: samsungA LGA mediatech Sú to tí najobsadzovanejší v zozname uniknutých prepínačov spolu s niektorými menšími výrobcami OEM, ako sú revízia a Szroco, ktorá vyrába Onn disky od Walmartu.

Podpisové kľúče týchto spoločností nejakým spôsobom unikli neznámym ľuďom a teraz nemôžete veriť, že aplikácie, ktoré tvrdia, že sú od týchto spoločností, sú skutočne od nich. Aby toho nebolo málo, „kľúče certifikátov platformy“, ktoré stratili, obsahovali niekoľko vážnych povolení. Aby som citoval z príspevku AVPI:

Certifikát platformy je certifikát na podpisovanie aplikácie, ktorý sa používa na podpísanie aplikácie „android“ do obrazu systému. Aplikácia „android“ beží s vysoko privilegovaným ID používateľa – android.uid.system – a má systémové povolenia vrátane povolení na prístup k údajom používateľa. Akákoľvek iná aplikácia podpísaná rovnakým certifikátom môže vyhlásiť, že chce bežať s rovnakým ID používateľa, čím získa rovnakú úroveň prístupu k operačnému systému Android.

Hlavný technický redaktor v Esper, Mishaal Rahmanako vždy, uverejnené Skvelá informácia O tomto na Twitteri. Ako vysvetľuje, to, že aplikácia získa rovnaký jedinečný identifikátor systému Android, nie je úplne root prístup, ale je to blízko a umožňuje aplikácii vymaniť sa z akéhokoľvek obmedzeného priestoru pre systémové aplikácie. Tieto aplikácie môžu priamo komunikovať (alebo v prípade škodlivého softvéru špehovať) iné aplikácie prostredníctvom vášho telefónu. Predstavte si zlovestnejšiu verziu Služieb Google Play a dostanete nápad.

READ  Apple predstavuje macOS 12 Monterey - TechCrunch

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.