Uitgelekte Samsung-sleutel voor ondertekening van Android-apps gebruikt om malware te ondertekenen
De ontwikkelaar die de cryptografische sleutel ondertekent, is een van de belangrijkste beveiligingspijlers van Android. Telkens wanneer Android een app bijwerkt, moet de ondertekeningssleutel van de oude app op uw telefoon overeenkomen met de updatesleutel die u installeert. Overeenkomende sleutels zorgen ervoor dat de update echt afkomstig is van het bedrijf dat uw app oorspronkelijk heeft gebouwd en niet een of ander kwaadaardig overnameplan is. Als de ondertekeningssleutel van de ontwikkelaar is gelekt, kan iedereen schadelijke app-updates verspreiden en zal Android ze graag installeren, denkend dat ze legitiem zijn.
Op Android is het app-updateproces niet alleen voor apps die zijn gedownload uit de app store, u kunt ook ingebouwde systeem-apps bijwerken die zijn gemaakt door Google, de fabrikant van uw apparaat en andere gerelateerde apps. Hoewel gedownloade apps een strikte set machtigingen en controles hebben, hebben de ingebouwde systeem-apps van Android toegang tot veel krachtigere en invasievere machtigingen en zijn ze niet onderworpen aan de gebruikelijke Play Store-beperkingen (daarom betaalt Facebook altijd voor een gebundelde app). Als een externe ontwikkelaar ooit zijn ondertekeningssleutel verliest, zou dat erg zijn. Als een Android-OEM ooit de ondertekeningssleutel van zijn systeem-app verliest, zou dat heel erg erg zijn.
Raad eens wat er gebeurde! Lukasz Severski, een lid van het Android-beveiligingsteam van Google, publiceerde een bericht op de Android Partner Vulnerability Initiative (AVPI) issue tracker waarin hij details gaf over lekken van platformcertificaatsleutels die veel worden gebruikt om malware te ondertekenen. Het bericht is slechts een lijst met sleutels, maar als je ze allemaal door APKMirror of de VirusTotal- site van Google laat lopen , krijg je een aantal gecompromitteerde sleutels: Samsung , LG en Mediatek zijn grote spelers in de lijst met gelekte sleutels, samen met enkele kleinere OEM’s zoals Review en Szroco, die Onn-tablets maken voor Walmart.
Deze bedrijven hebben op de een of andere manier hun ondertekeningssleutels gelekt naar buitenstaanders, en nu kun je er niet meer op vertrouwen dat applicaties die beweren van deze bedrijven te zijn, echt van hen zijn. Tot overmaat van ramp hebben de “platformcertificaatsleutels” die ze zijn kwijtgeraakt serieuze machtigingen. Om het AVPI-bericht te citeren:
Een platformcertificaat is een certificaat voor het ondertekenen van toepassingen dat wordt gebruikt om een Android-toepassing in een systeemkopie te ondertekenen. De Android-app wordt uitgevoerd met een zeer bevoorrechte gebruikers-ID, android.uid.system, en bevat systeemmachtigingen, waaronder machtigingen voor toegang tot gebruikersgegevens. Elke andere toepassing die met hetzelfde certificaat is ondertekend, kan aankondigen dat hij met dezelfde gebruikers-ID wil werken, waardoor hij hetzelfde toegangsniveau tot het Android-besturingssysteem krijgt.
Geef een reactie