Nutekėjo „Samsung“ raktas, skirtas „Android“ programų pasirašymui, naudojamas kenkėjiškų programų pasirašymui

Kūrėjo pasirašymo kriptografinis raktas yra vienas iš pagrindinių „Android“ saugumo ramsčių. Kiekvieną kartą, kai „Android“ atnaujina programą, senosios programos pasirašymo raktas jūsų telefone turi atitikti įdiegtą naujinimo raktą. Atitinkami raktai užtikrina, kad naujinimas tikrai būtų iš įmonės, kuri iš pradžių sukūrė jūsų programą, o ne koks nors kenkėjiškas perėmimo planas. Jei kūrėjo pasirašymo raktas nutekėjo, bet kas gali platinti kenkėjiškų programų naujinimus, o „Android“ mielai juos įdiegs, manydama, kad jie teisėti.

„Android“ programėlės atnaujinimo procesas skirtas ne tik programėlėms, atsisiųstoms iš programų parduotuvės, taip pat galite atnaujinti integruotas sistemos programėles, kurias sukūrė „Google“, įrenginio gamintojas ir visas kitas susijusias programas. Nors atsisiųstos programėlės turi griežtą leidimų ir valdiklių rinkinį, „Android“ įtaisytosios sistemos programėlės turi prieigą prie daug galingesnių ir invazinių leidimų ir joms netaikomi įprasti „Play Store“ apribojimai (todėl „Facebook“ visada moka už komplektuojamą programėlę). Jei trečiosios šalies kūrėjas kada nors prarastų savo pasirašymo raktą, tai būtų blogai. Jei „Android“ OĮG kada nors prarastų sistemos programos pasirašymo raktą, tai būtų labai, labai blogai.

Atspėk, kas atsitiko! Lukaszas Severskis, „Google“ „Android“ saugos komandos narys, paskelbė įrašą apie „Android Partner Vulnerability Initiative“ (AVPI) problemų stebėjimo priemonę, kurioje išsamiai aprašomi platformos sertifikato raktų , kurie dažnai naudojami kenkėjiškų programų pasirašymui, nutekėjimas. Įrašas yra tik raktų sąrašas, tačiau paleidus kiekvieną iš jų per APKMirror arba Google VirusTotal svetainę, bus įvardijami kai kurie pažeisti raktai: Samsung , LG ir Mediatek yra svarbūs žaidėjai nutekėjusių raktų sąraše kartu su kai kuriais mažesniais originalios įrangos gamintojais, pvz., „Apžvalga“ ir „Szroco“, gaminantys „Onn“ planšetinius kompiuterius „Walmart“.

Šios įmonės kažkokiu būdu nutekino savo pasirašymo raktus pašaliniams asmenims, ir dabar negalite pasitikėti, kad programos, kurios, kaip teigiama, yra iš šių įmonių, tikrai yra jų. Dar blogiau, jų prarasti „platformos sertifikato raktai“ turi rimtus leidimus. Cituoti AVPI įrašą:

Platformos sertifikatas yra programos pasirašymo sertifikatas, naudojamas „Android“ programai pasirašyti sistemos vaizde. „Android“ programa veikia su labai privilegijuotu vartotojo ID android.uid.system ir turi sistemos leidimus, įskaitant leidimus pasiekti vartotojo duomenis. Bet kuri kita programa, pasirašyta tuo pačiu sertifikatu, gali pranešti, kad nori dirbti su tuo pačiu vartotojo ID, suteikdama jai tokio pat lygio prieigą prie „Android“ operacinės sistemos.