Vuotanut Samsung-avain Android-sovellusten allekirjoittamiseen, jota käytettiin haittaohjelmien allekirjoittamiseen

Kehittäjän allekirjoitussalausavain on yksi Androidin tärkeimmistä tietoturvapilareista. Aina kun Android päivittää sovelluksen, puhelimesi vanhan sovelluksen allekirjoitusavaimen on vastattava asentamaasi päivitysavainta. Vastaavat avaimet varmistavat, että päivitys todella tulee sovelluksesi alun perin rakentaneelta yritykseltä, eikä kyseessä ole haitallinen haltuunottojuoni. Jos kehittäjän allekirjoitusavain vuotaa, kuka tahansa voi jakaa haitallisia sovelluspäivityksiä, ja Android asentaa ne mielellään niiden olevan laillisia.

Androidissa sovellusten päivitysprosessi ei koske vain sovelluskaupasta ladattuja sovelluksia, vaan voit myös päivittää Googlen, laitteesi valmistajan luomia sisäänrakennettuja järjestelmäsovelluksia ja muita asiaan liittyviä sovelluksia. Vaikka ladatuilla sovelluksilla on tiukat käyttöoikeudet ja säätimet, Androidin sisäänrakennetuilla järjestelmäsovelluksilla on pääsy paljon tehokkaampiin ja invasiivisempiin käyttöoikeuksiin, eivätkä ne ole tavanomaisten Play Kaupan rajoitusten alaisia ​​(siksi Facebook maksaa aina mukana toimitetusta sovelluksesta). Jos kolmannen osapuolen kehittäjä koskaan kadottaa allekirjoitusavaimensa, se olisi huono. Jos Android OEM koskaan kadottaa järjestelmäsovelluksen allekirjoitusavaimen, se olisi erittäin, erittäin huono asia.

Arvaa mitä tapahtui! Lukasz Severski, Googlen Android-tietoturvatiimin jäsen, julkaisi Android Partner Vulnerability Initiative (AVPI) -ongelmanseurantaohjelman, jossa kerrotaan yksityiskohtaisesti haittaohjelmien allekirjoittamiseen käytettyjen alustan varmenneavaimien vuodot . Viesti on vain luettelo avaimista, mutta jokaisen suorittaminen APKMirrorin tai Googlen VirusTotal -sivuston kautta johtaa joidenkin vaarantuneiden avainten nimeämiseen: Samsung , LG ja Mediatek ovat suuria toimijoita vuotaneiden avainten luettelossa, samoin kuin joitain pienempiä OEM-valmistajia, kuten esim. Review ja Szroco, jotka valmistavat Onn-tabletteja Walmartille.

Nämä yritykset ovat jotenkin vuotaneet allekirjoitusavaimensa ulkopuolisille, eikä nyt voi luottaa siihen, että näiltä yrityksiltä väittävät sovellukset ovat todella heiltä. Asiaa pahentaa vielä se, että heidän kadottamillaan ”alustan varmenneavaimilla” on vakavat käyttöoikeudet. Lainatakseni AVPI-viestiä:

Alustavarmenne on sovelluksen allekirjoitusvarmenne, jota käytetään allekirjoittamaan Android-sovellus järjestelmäkuvassa. Android-sovellus toimii erittäin etuoikeutetulla käyttäjätunnuksella, android.uid.system, ja sisältää järjestelmän käyttöoikeudet, mukaan lukien käyttöoikeudet käyttäjätietoihin. Mikä tahansa muu samalla varmenteella allekirjoitettu sovellus voi ilmoittaa haluavansa työskennellä samalla käyttäjätunnuksella ja antaa sille samantasoisen pääsyn Android-käyttöjärjestelmään.