Fuite de clé Samsung pour la signature d’applications Android utilisée pour signer des logiciels malveillants

La clé cryptographique de signature du développeur est l’un des principaux piliers de sécurité d’Android. Chaque fois qu’Android met à jour une application, la clé de signature de l’ancienne application sur votre téléphone doit correspondre à la clé de mise à jour que vous installez. Les clés correspondantes garantissent que la mise à jour provient bien de la société qui a créé votre application à l’origine et qu’il ne s’agit pas d’un complot de prise de contrôle malveillant. Si la clé de signature du développeur est divulguée, n’importe qui peut distribuer des mises à jour d’applications malveillantes, et Android les installera avec plaisir, pensant qu’elles sont légitimes.

Sur Android, le processus de mise à jour des applications ne concerne pas uniquement les applications téléchargées depuis l’App Store, vous pouvez également mettre à jour les applications système intégrées créées par Google, le fabricant de votre appareil et toute autre application associée. Alors que les applications téléchargées ont un ensemble strict d’autorisations et de contrôles, les applications système intégrées d’Android ont accès à des autorisations beaucoup plus puissantes et invasives et ne sont pas soumises aux restrictions habituelles du Play Store (c’est pourquoi Facebook paie toujours pour une application groupée). Si un développeur tiers perdait sa clé de signature, ce serait mauvais. Si un OEM Android perdait sa clé de signature d’application système, ce serait très, très mauvais.

Devinez ce qui s’est passé ! Lukasz Severski, membre de l’équipe de sécurité Android de Google, a publié un article sur le suivi des problèmes de l’Android Partner Vulnerability Initiative (AVPI) détaillant les fuites de clés de certificat de plate-forme qui sont fortement utilisées pour signer des logiciels malveillants. Le message n’est qu’une liste de clés, mais l’exécution de chacune via APKMirror ou le site VirusTotal de Google entraînera la nomination de certaines clés compromises : Samsung , LG et Mediatek sont de grands acteurs dans la liste des clés divulguées, ainsi que certains OEM plus petits tels que Review et Szroco, qui fabriquent des tablettes Onn pour Walmart.

Ces entreprises ont d’une manière ou d’une autre divulgué leurs clés de signature à des étrangers, et maintenant vous ne pouvez pas être sûr que les applications qui prétendent provenir de ces entreprises proviennent vraiment d’elles. Pour aggraver les choses, les « clés de certificat de plate-forme » qu’ils ont perdues ont des autorisations sérieuses. Pour citer le post d’AVPI :

Un certificat de plate-forme est un certificat de signature d’application utilisé pour signer une application Android dans une image système. L’application Android s’exécute avec un ID utilisateur hautement privilégié, android.uid.system, et contient des autorisations système, y compris des autorisations d’accès aux données utilisateur. Toute autre application signée avec le même certificat peut annoncer qu’elle veut travailler avec le même ID utilisateur, lui donnant le même niveau d’accès au système d’exploitation Android.