マルウェアの署名に使用される Android アプリ署名用の Samsung キーが流出

開発者署名暗号キーは、Android の主要なセキュリティの柱の 1 つです。Android がアプリを更新するたびに、携帯電話上の古いアプリの署名キーが、インストールしている更新キーと一致する必要があります。キーを照合することで、そのアップデートが実際にアプリを最初に構築した会社からのものであり、悪意のある乗っ取り計画ではないことが保証されます。開発者の署名キーが漏洩すると、誰でも悪意のあるアプリのアップデートを配布することができ、Android はそれらが正規のものであると考えて喜んでインストールします。

Android では、アプリの更新プロセスは、アプリ ストアからダウンロードされたアプリだけでなく、Google、デバイスのメーカーが作成した組み込みシステム アプリ、およびその他の関連アプリも更新できます。ダウンロードされたアプリには厳格な権限と制御が設定されていますが、Android の組み込みシステム アプリは、より強力で侵襲的な権限にアクセスでき、通常の Play ストアの制限を受けません (これが、Facebook がバンドルされたアプリに対して常に料金を支払う理由です)。サードパーティの開発者が署名キーを紛失した場合、それは問題になります。Android OEM がシステム アプリ署名キーを紛失した場合、それは非常に悪いことになります。

何が起こったのか推測してください! Google の Android セキュリティ チームのメンバーである Lukasz Severski 氏は、Android Partner Vulnerability Initiative (AVPI) 問題追跡ツールに、マルウェアの署名に多用されるプラットフォーム証明書キーの漏洩について詳しく説明した投稿を公開しました。この投稿は単なるキーのリストですが、 APKMirrorまたは Google のVirusTotalサイトを通じて各キーを実行すると、侵害されたキーの名前がいくつか表示されます。Samsung 、 LG、Mediatek は、漏洩したキーのリストの大手であり、以下のような小規模な OEM も含まれます。Reviewと Szroco は、ウォルマート向けに Onn タブレットを製造しています。

これらの企業は何らかの方法で署名キーを外部に漏洩しており、現在では、これらの企業からのものであると主張するアプリケーションが本当にその企業からのものであるかどうかを信頼することはできません。さらに悪いことに、彼らが紛失した「プラットフォーム証明書キー」には重大な権限が含まれていました。AVPI の投稿を引用するには:

プラットフォーム証明書は、システム イメージ内の Android アプリケーションに署名するために使用されるアプリケーション署名証明書です。Android アプリは、高度な特権を持つユーザー ID android.uid.system で実行され、ユーザー データにアクセスする権限を含むシステム権限が含まれています。同じ証明書で署名された他のアプリケーションは、同じユーザー ID で動作することを通知し、Android オペレーティング システムへの同じレベルのアクセスを与えることができます。