Chiave Samsung trapelata per la firma dell’app Android utilizzata per firmare malware

Chiave Samsung trapelata per la firma dell’app Android utilizzata per firmare malware

La chiave crittografica di firma dello sviluppatore è uno dei principali pilastri della sicurezza di Android. Ogni volta che Android aggiorna un’app, la chiave di firma dell’app precedente sul telefono deve corrispondere alla chiave di aggiornamento che stai installando. Le chiavi corrispondenti assicurano che l’aggiornamento provenga davvero dalla società che ha originariamente creato la tua app e non sia un piano di acquisizione dannoso. Se la chiave di firma dello sviluppatore è trapelata, chiunque può distribuire aggiornamenti di app dannosi e Android li installerà felicemente, pensando che siano legittimi.

Su Android, il processo di aggiornamento dell’app non è solo per le app scaricate dall’app store, puoi anche aggiornare le app di sistema integrate create da Google, il produttore del tuo dispositivo e qualsiasi altra app correlata. Mentre le app scaricate hanno un set rigoroso di autorizzazioni e controlli, le app di sistema integrate di Android hanno accesso a autorizzazioni molto più potenti e invasive e non sono soggette alle solite restrizioni del Play Store (motivo per cui Facebook paga sempre per un’app in bundle). Se uno sviluppatore di terze parti perdesse mai la propria chiave di firma, sarebbe un male. Se un OEM Android perdesse mai la chiave di firma dell’app di sistema, sarebbe molto, molto brutto.

Indovina cos’è successo! Lukasz Severski, un membro del team di sicurezza Android di Google, ha pubblicato un post sul tracker dei problemi di Android Partner Vulnerability Initiative (AVPI) che descrive in dettaglio le perdite di chiavi di certificato della piattaforma che sono ampiamente utilizzate per firmare malware. Il post è solo un elenco di chiavi, ma l’esecuzione di ognuna tramite APKMirror o il sito VirusTotal di Google comporterà la denominazione di alcune chiavi compromesse: Samsung , LG e Mediatek sono i grandi attori nell’elenco delle chiavi trapelate, insieme ad alcuni OEM più piccoli come Review e Szroco, che producono tablet Onn per Walmart.

Queste aziende in qualche modo hanno fatto trapelare le loro chiavi di firma a estranei e ora non puoi fidarti che le applicazioni che affermano di provenire da queste aziende provengano davvero da loro. A peggiorare le cose, le “chiavi del certificato della piattaforma” che hanno perso hanno autorizzazioni serie. Per citare il post AVPI:

Un certificato di piattaforma è un certificato di firma dell’applicazione utilizzato per firmare un’applicazione Android in un’immagine di sistema. L’app Android viene eseguita con un ID utente con privilegi elevati, android.uid.system, e contiene autorizzazioni di sistema, incluse le autorizzazioni per l’accesso ai dati utente. Qualsiasi altra applicazione firmata con lo stesso certificato può annunciare che vuole lavorare con lo stesso ID utente, dandogli lo stesso livello di accesso al sistema operativo Android.

Uncategorized
admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Rapporto: il prossimo sistema operativo di realtà virtuale e aumentata di Apple ha un nuovo nome
La scelta di un monitor OLED è patetica. Il 2023 potrebbe cambiarlo
Come riparare i problemi di registrazione dello schermo Samsung Galaxy S22/Plus/Ultra

Come riparare i problemi di registrazione dello schermo Samsung Galaxy S22/Plus/Ultra

  • 08 Giu 2023
  • 116
Come accedere alla modalità di ripristino su un Samsung Galaxy S20

Come accedere alla modalità di ripristino su un Samsung Galaxy S20

  • 02 Giu 2023
  • 62
Samsung Galaxy A54 vs iPhone SE (2022): quale smartphone è migliore?

Samsung Galaxy A54 vs iPhone SE (2022): quale smartphone è migliore?

  • 27 Mag 2023
  • 114