Wyciekł klucz Samsung do podpisywania aplikacji na Androida używany do podpisywania złośliwego oprogramowania

Klucz kryptograficzny podpisujący dewelopera jest jednym z głównych filarów bezpieczeństwa Androida. Za każdym razem, gdy Android aktualizuje aplikację, klucz podpisywania starej aplikacji na telefonie musi być zgodny z kluczem aktualizacji, który instalujesz. Dopasowane klucze zapewniają, że aktualizacja rzeczywiście pochodzi od firmy, która pierwotnie stworzyła Twoją aplikację, i nie jest jakimś złośliwym planem przejęcia. Jeśli klucz podpisywania programisty wycieknie, każdy może rozpowszechniać złośliwe aktualizacje aplikacji, a Android z radością je zainstaluje, myśląc, że są legalne.

W systemie Android proces aktualizacji aplikacji dotyczy nie tylko aplikacji pobranych ze sklepu z aplikacjami, ale możesz także aktualizować wbudowane aplikacje systemowe utworzone przez firmę Google, producenta urządzenia oraz wszelkie inne powiązane aplikacje. Podczas gdy pobrane aplikacje mają ścisły zestaw uprawnień i kontroli, wbudowane aplikacje systemowe Androida mają dostęp do znacznie potężniejszych i inwazyjnych uprawnień i nie podlegają zwykłym ograniczeniom Sklepu Play (dlatego Facebook zawsze płaci za pakiet aplikacji). Jeśli zewnętrzny programista kiedykolwiek straci swój klucz do podpisywania, byłoby to złe. Jeśli producent OEM systemu Android kiedykolwiek straci klucz podpisywania aplikacji systemowej, będzie to bardzo, bardzo złe.

Zgadnij co się stało! Łukasz Severski, członek zespołu Google ds. bezpieczeństwa Androida, opublikował post na temat narzędzia do śledzenia problemów Android Partner Vulnerability Initiative (AVPI), szczegółowo opisując wycieki kluczy certyfikatów platformy , które są często używane do podpisywania złośliwego oprogramowania. Post jest tylko listą kluczy, ale uruchomienie każdego z nich przez APKMirror lub witrynę Google VirusTotal spowoduje wymienienie niektórych zagrożonych kluczy: Samsung , LG i Mediatek są dużymi graczami na liście wyciekających kluczy, wraz z kilkoma mniejszymi producentami OEM, takimi jak Review i Szroco, które produkują tablety Onn dla Walmartu.

Firmy te w jakiś sposób ujawniły swoje klucze do podpisywania osobom z zewnątrz, a teraz nie można ufać, że aplikacje, które twierdzą, że pochodzą od tych firm, naprawdę pochodzą od nich. Co gorsza, utracone przez nich „klucze certyfikatów platformy” mają poważne uprawnienia. Cytując post AVPI:

Certyfikat platformy to certyfikat podpisywania aplikacji używany do podpisywania aplikacji systemu Android w obrazie systemu. Aplikacja na Androida działa z wysoce uprzywilejowanym identyfikatorem użytkownika, android.uid.system, i zawiera uprawnienia systemowe, w tym uprawnienia dostępu do danych użytkownika. Każda inna aplikacja podpisana tym samym certyfikatem może ogłosić, że chce pracować z tym samym identyfikatorem użytkownika, dając jej ten sam poziom dostępu do systemu operacyjnego Android.