Lekkinud Samsungi võti Androidi rakenduste allkirjastamiseks, mida kasutatakse pahavara allkirjastamiseks

Arendaja allkirjastamise krüptograafiline võti on Androidi üks peamisi turvasambaid. Iga kord, kui Android rakendust värskendab, peab teie telefoni vana rakenduse allkirjastamisvõti ühtima installitava värskendusvõtmega. Vastavad võtmed tagavad, et värskendus pärineb tõesti ettevõttelt, kes teie rakenduse algselt koostas, ja see pole pahatahtlik ülevõtmise plaan. Kui arendaja allkirjastamisvõti lekib, võib igaüks levitada pahatahtlikke rakenduste värskendusi ja Android installib need hea meelega, arvates, et need on legitiimsed.

Androidis ei hõlma rakenduste värskendamise protsess ainult rakenduste poest allalaaditud rakendusi, saate värskendada ka Google’i, teie seadme tootja loodud sisseehitatud süsteemirakendusi ja muid seotud rakendusi. Kui allalaaditud rakendustel on ranged õigused ja juhtelemendid, siis Androidi sisseehitatud süsteemirakendustel on juurdepääs palju võimsamatele ja invasiivsematele lubadele ning neile ei kehti tavalised Play poe piirangud (sellepärast maksab Facebook alati komplekteeritud rakenduse eest). Kui kolmandast osapoolest arendaja kunagi oma allkirjastamisvõtme kaotab, oleks see halb. Kui Androidi originaalseadmete tootja kaotab kunagi oma süsteemirakenduse allkirjastamisvõtme, oleks see väga-väga halb.

Arvake ära, mis juhtus! Google’i Androidi turvameeskonna liige Lukasz Severski avaldas Android Partner Vulnerability Initiative’i (AVPI) probleemijälgija postituse, milles kirjeldatakse üksikasjalikult pahavara allkirjastamiseks kasutatavate platvormi sertifikaadivõtmete lekkeid . Postitus on vaid võtmete loend, kuid nende kõigi käitamine APKMirrori või Google’i VirusTotali saidi kaudu põhjustab mõne ohustatud võtme nimetamise: Samsung , LG ja Mediatek on lekkinud võtmete loendis suured tegijad koos mõne väiksema originaalseadmete tootjaga, nagu näiteks Review ja Szroco, mis toodavad Walmarti jaoks Onni tahvelarvuteid.

Need ettevõtted lekitasid oma allkirjastamisvõtmed kuidagi kõrvalistele isikutele ja nüüd ei saa te usaldada, et rakendused, mis väidetavalt pärinevad nendelt ettevõtetelt, on tõesti nendelt pärit. Asja teeb hullemaks see, et nende kaotatud „platvormi sertifikaadivõtmetel” on tõsised load. Tsiteerides AVPI postitust:

Platvormi sertifikaat on rakenduse allkirjastamise sertifikaat, mida kasutatakse Androidi rakenduse allkirjastamiseks süsteemipildil. Androidi rakendus töötab kõrge privilegeeritud kasutaja ID-ga android.uid.system ja sisaldab süsteemiõigusi, sealhulgas lubasid juurdepääsuks kasutajaandmetele. Iga teine ​​sama sertifikaadiga allkirjastatud rakendus võib anda teada, et soovib töötada sama kasutajatunnusega, andes sellega samaväärse juurdepääsu Androidi operatsioonisüsteemile.