Chave Samsung vazada para assinatura de aplicativo Android usada para assinar malware

A chave criptográfica de assinatura do desenvolvedor é um dos principais pilares de segurança do Android. Sempre que o Android atualiza um aplicativo, a chave de assinatura do aplicativo antigo em seu telefone deve corresponder à chave de atualização que você está instalando. As chaves correspondentes garantem que a atualização realmente vem da empresa que originalmente criou seu aplicativo e não é uma trama de aquisição maliciosa. Se a chave de assinatura do desenvolvedor vazar, qualquer pessoa pode distribuir atualizações de aplicativos maliciosos, e o Android as instalará alegremente, pensando que são legítimas.

No Android, o processo de atualização de aplicativos não é apenas para aplicativos baixados da loja de aplicativos, você também pode atualizar aplicativos integrados do sistema criados pelo Google, o fabricante do seu dispositivo e quaisquer outros aplicativos relacionados. Embora os aplicativos baixados tenham um conjunto estrito de permissões e controles, os aplicativos integrados do sistema Android têm acesso a permissões muito mais poderosas e invasivas e não estão sujeitos às restrições usuais da Play Store (é por isso que o Facebook sempre paga por um aplicativo integrado). Se um desenvolvedor terceirizado perder sua chave de assinatura, isso seria ruim. Se um OEM do Android perder a chave de assinatura do aplicativo do sistema, isso seria muito, muito ruim.

Adivinha o que aconteceu! Lukasz Severski, membro da equipe de segurança do Android do Google, publicou uma postagem no rastreador de problemas do Android Partner Vulnerability Initiative (AVPI) detalhando vazamentos de chaves de certificado de plataforma que são muito usadas para assinar malware. A postagem é apenas uma lista de chaves, mas a execução de cada uma por meio do APKMirror ou do site VirusTotal do Google resultará na nomeação de algumas chaves comprometidas: Samsung , LG e Mediatek são grandes players na lista de chaves vazadas, junto com alguns OEMs menores, como Review e Szroco, que fabricam tablets Onn para o Walmart.

Essas empresas de alguma forma vazaram suas chaves de assinatura para estranhos e agora você não pode confiar que os aplicativos que afirmam ser dessas empresas são realmente deles. Para piorar a situação, as “chaves de certificado de plataforma” que eles perderam têm permissões sérias. Para citar a postagem da AVPI:

Um certificado de plataforma é um certificado de assinatura de aplicativo usado para assinar um aplicativo Android em uma imagem do sistema. O aplicativo Android é executado com um ID de usuário altamente privilegiado, android.uid.system, e contém permissões do sistema, incluindo permissões para acessar dados do usuário. Qualquer outro aplicativo assinado com o mesmo certificado pode anunciar que deseja trabalhar com o mesmo ID de usuário, dando-lhe o mesmo nível de acesso ao sistema operacional Android.