맬웨어 서명에 사용되는 Android 앱 서명용 삼성 키 유출

개발자 서명 암호화 키는 Android의 주요 보안 요소 중 하나입니다. Android가 앱을 업데이트할 때마다 휴대전화에 있는 이전 앱의 서명 키가 설치 중인 업데이트 키와 일치해야 합니다. 일치하는 키를 사용하면 원래 앱을 빌드한 회사에서 업데이트를 제공하고 악의적인 탈취 계획이 아님을 확인할 수 있습니다. 개발자의 서명 키가 유출되면 누구나 악성 앱 업데이트를 배포할 수 있으며 Android는 이를 합법적이라고 생각하고 기꺼이 설치합니다.

Android에서 앱 업데이트 프로세스는 앱 스토어에서 다운로드한 앱에 대한 것일 뿐만 아니라 Google에서 만든 내장 시스템 앱, 기기 제조업체 및 기타 관련 앱을 업데이트할 수도 있습니다. 다운로드한 앱에는 엄격한 권한 및 제어 세트가 있지만 Android의 내장 시스템 앱은 훨씬 더 강력하고 침입적인 권한에 액세스할 수 있으며 일반적인 Play 스토어 제한이 적용되지 않습니다(Facebook이 항상 번들 앱에 대한 비용을 지불하는 이유). 제3자 개발자가 서명 키를 잃어버리면 좋지 않습니다. Android OEM이 시스템 앱 서명 키를 분실한 경우 매우 안타까운 일입니다.

무슨 일이 있었는지 맞춰보세요! Google Android 보안 팀의 구성원인 Lukasz Severski는 AVPI(Android Partner Vulnerability Initiative) 문제 추적기 에 맬웨어 서명에 많이 사용되는 플랫폼 인증서 키의 유출에 대해 자세히 설명하는 게시물을 게시했습니다 . 게시물은 키 목록일 뿐이지만 APKMirror 또는 Google의 VirusTotal 사이트를 통해 각 키를 실행 하면 일부 손상된 키 의 이름 이 지정 됩니다 . Walmart용 Onn 태블릿을 만드는 Review 및 Szroco.

이 회사들은 어떻게든 서명 키를 외부인에게 유출했으며 이제 이러한 회사에서 왔다고 주장하는 응용 프로그램이 실제로 그들에게서 온 것이라고 믿을 수 없습니다. 설상가상으로 그들이 잃어버린 “플랫폼 인증서 키”에는 심각한 권한이 있습니다. AVPI 게시물을 인용하려면:

플랫폼 인증서는 시스템 이미지에서 Android 애플리케이션에 서명하는 데 사용되는 애플리케이션 서명 인증서입니다. Android 앱은 권한이 높은 사용자 ID인 android.uid.system으로 실행되며 사용자 데이터 액세스 권한을 비롯한 시스템 권한을 포함합니다. 동일한 인증서로 서명된 다른 애플리케이션은 동일한 사용자 ID로 작업하기를 원한다고 발표하여 Android 운영 체제에 대해 동일한 수준의 액세스 권한을 부여할 수 있습니다.