Uniklý klíč Samsung pro podepisování aplikací pro Android používaný k podepisování malwaru

Vývojářský podepisovací kryptografický klíč je jedním z hlavních bezpečnostních pilířů Androidu. Pokaždé, když Android aktualizuje aplikaci, podpisový klíč staré aplikace v telefonu se musí shodovat s aktualizačním klíčem, který instalujete. Odpovídající klíče zajišťují, že aktualizace skutečně pochází od společnosti, která vaši aplikaci původně vytvořila, a nejedná se o nějaký škodlivý plán převzetí. Pokud dojde k úniku podpisového klíče vývojáře, kdokoli může distribuovat aktualizace škodlivých aplikací a Android je s radostí nainstaluje v domnění, že jsou legitimní.

V systému Android se proces aktualizace aplikací netýká pouze aplikací stažených z obchodu s aplikacemi, můžete také aktualizovat vestavěné systémové aplikace vytvořené společností Google, výrobcem vašeho zařízení a jakékoli další související aplikace. Zatímco stažené aplikace mají přísnou sadu oprávnění a ovládacích prvků, vestavěné systémové aplikace Androidu mají přístup k mnohem výkonnějším a invazivnějším oprávněním a nepodléhají obvyklým omezením Obchodu Play (proto Facebook vždy platí za přibalenou aplikaci). Pokud vývojář třetí strany ztratí svůj podpisový klíč, bylo by to špatné. Pokud OEM Android někdy ztratí svůj podpisový klíč systémové aplikace, bylo by to velmi, velmi špatné.

Hádejte, co se stalo! Lukasz Severski, člen bezpečnostního týmu společnosti Google pro Android, zveřejnil příspěvek na nástroji pro sledování problémů Android Partner Vulnerability Initiative (AVPI), který podrobně popisuje úniky klíčů certifikátů platforem , které se hojně používají k podepisování malwaru. Příspěvek je pouze seznam klíčů, ale spuštění každého z nich prostřednictvím APKMirror nebo webu VirusTotal společnosti Google povede k pojmenování některých ohrožených klíčů: Samsung , LG a Mediatek jsou velkými hráči v seznamu uniklých klíčů spolu s některými menšími výrobci OEM, jako je např. Review a Szroco, které vyrábí tablety Onn pro Walmart.

Tyto společnosti nějakým způsobem prozradily své podpisové klíče nečlenům a nyní nemůžete věřit, že aplikace, které tvrdí, že jsou od těchto společností, jsou skutečně od nich. Aby toho nebylo málo, „klíče certifikátů platformy“, které ztratili, mají vážná oprávnění. Abych citoval příspěvek AVPI:

Certifikát platformy je certifikát pro podepisování aplikací, který se používá k podepisování aplikace Android v obraze systému. Aplikace pro Android běží s vysoce privilegovaným ID uživatele, android.uid.system, a obsahuje systémová oprávnění, včetně oprávnění pro přístup k uživatelským datům. Jakákoli jiná aplikace podepsaná stejným certifikátem může oznámit, že chce pracovat se stejným uživatelským ID, čímž získá stejnou úroveň přístupu k operačnímu systému Android.