Durchgesickerter Samsung-Schlüssel für Android-App-Signierung, der zum Signieren von Malware verwendet wird

Der vom Entwickler signierte kryptografische Schlüssel ist eine der wichtigsten Sicherheitssäulen von Android. Jedes Mal, wenn Android eine App aktualisiert, muss der Signaturschlüssel der alten App auf Ihrem Telefon mit dem Update-Schlüssel übereinstimmen, den Sie installieren. Übereinstimmende Schlüssel stellen sicher, dass das Update tatsächlich von dem Unternehmen stammt, das Ihre App ursprünglich entwickelt hat, und kein böswilliger Übernahmeplan ist. Wenn der Signaturschlüssel des Entwicklers durchgesickert ist, kann jeder bösartige App-Updates verbreiten, und Android wird sie gerne installieren, weil er sie für legitim hält.

Unter Android gilt der App-Aktualisierungsprozess nicht nur für Apps, die aus dem App Store heruntergeladen wurden, Sie können auch integrierte System-Apps aktualisieren, die von Google, dem Hersteller Ihres Geräts und allen anderen zugehörigen Apps erstellt wurden. Während heruntergeladene Apps strenge Berechtigungen und Kontrollen haben, haben die integrierten System-Apps von Android Zugriff auf viel leistungsfähigere und invasivere Berechtigungen und unterliegen nicht den üblichen Play Store-Einschränkungen (weshalb Facebook immer für eine gebündelte App bezahlt). Wenn ein Drittentwickler jemals seinen Signaturschlüssel verliert, wäre das schlimm. Wenn ein Android-OEM jemals seinen System-App-Signaturschlüssel verliert, wäre das sehr, sehr schlimm.

Rate, was passiert ist! Lukasz Severski, ein Mitglied des Android-Sicherheitsteams von Google, hat einen Beitrag im Issue-Tracker der Android Partner Vulnerability Initiative (AVPI) veröffentlicht, in dem er detailliert auf Lecks von Plattformzertifikatsschlüsseln hinweist , die häufig zum Signieren von Malware verwendet werden. Der Beitrag ist nur eine Liste von Schlüsseln, aber wenn man jeden einzelnen Schlüssel über APKMirror oder die VirusTotal- Website von Google ausführt , werden einige kompromittierte Schlüssel genannt: Samsung , LG und Mediatek sind große Player in der Liste der durchgesickerten Schlüssel, zusammen mit einigen kleineren OEMs wie z Review und Szroco, die Onn-Tablets für Walmart herstellen.

Diese Unternehmen haben ihre Signaturschlüssel irgendwie an Außenstehende weitergegeben, und jetzt können Sie nicht mehr darauf vertrauen, dass Anwendungen, die angeblich von diesen Unternehmen stammen, tatsächlich von ihnen stammen. Erschwerend kommt hinzu, dass die „Plattformzertifikatsschlüssel“, die sie verloren haben, über ernsthafte Berechtigungen verfügen. Um den AVPI-Beitrag zu zitieren:

Ein Plattformzertifikat ist ein Anwendungssignaturzertifikat, das zum Signieren einer Android-Anwendung in einem Systemabbild verwendet wird. Die Android-App wird mit einer hochprivilegierten Benutzer-ID, android.uid.system, ausgeführt und enthält Systemberechtigungen, einschließlich Berechtigungen für den Zugriff auf Benutzerdaten. Jede andere mit demselben Zertifikat signierte Anwendung kann ankündigen, dass sie mit derselben Benutzer-ID arbeiten möchte, und erhält so den gleichen Zugriff auf das Android-Betriebssystem.