Läckt Samsung-nyckel för Android-appsignering Används för att signera skadlig programvara

Den kryptografiska nyckeln som signerar utvecklaren är en av Androids viktigaste säkerhetspelare. Varje gång Android uppdaterar en app måste den gamla appens signeringsnyckel på din telefon matcha uppdateringsnyckeln du installerar. Matchande nycklar säkerställer att uppdateringen verkligen kommer från företaget som ursprungligen byggde din app, och inte är något skadligt övertagande. Om utvecklarens signeringsnyckel läcker kan vem som helst distribuera skadliga appuppdateringar, och Android installerar dem gärna och tror att de är legitima.

På Android är appuppdateringsprocessen inte bara för appar som laddas ner från appbutiken, du kan också uppdatera inbyggda systemappar som skapats av Google, enhetens tillverkare och andra relaterade appar. Medan nedladdade appar har en strikt uppsättning behörigheter och kontroller, har Androids inbyggda systemappar tillgång till mycket kraftfullare och mer invasiva behörigheter och är inte föremål för de vanliga begränsningarna i Play Butik (vilket är anledningen till att Facebook alltid betalar för en medföljande app). Om en tredjepartsutvecklare någonsin tappar sin signeringsnyckel skulle det vara dåligt. Om en Android OEM någonsin förlorar sin systemapp-signeringsnyckel, skulle det vara väldigt, väldigt dåligt.

Gissa vad som hände! Lukasz Severski, en medlem av Googles Android-säkerhetsteam, publicerade ett inlägg om Android Partner Vulnerability Initiative (AVPI) issue tracker som beskriver läckor av plattformscertifikatnycklar som ofta används för att signera skadlig programvara. Inlägget är bara en lista över nycklar, men att köra var och en genom APKMirror eller Googles VirusTotal -sajt kommer att resultera i att några komprometterade nycklar namnges: Samsung , LG och Mediatek är stora aktörer i listan över läckta nycklar, tillsammans med några mindre OEM-tillverkare som t.ex. Review och Szroco, som gör Onn-surfplattor för Walmart.

Dessa företag läckte på något sätt sina signeringsnycklar till utomstående, och nu kan du inte lita på att applikationer som påstår sig vara från dessa företag verkligen kommer från dem. För att göra saken värre har ”plattformscertifikatnycklarna” som de förlorade allvarliga behörigheter. För att citera AVPI-inlägget:

Ett plattformscertifikat är ett applikationssigneringscertifikat som används för att signera en Android-applikation i en systembild. Android-appen körs med ett mycket privilegierat användar-ID, android.uid.system, och innehåller systembehörigheter, inklusive behörigheter att komma åt användardata. Alla andra applikationer signerade med samma certifikat kan meddela att de vill arbeta med samma användar-ID, vilket ger den samma nivå av åtkomst till Android-operativsystemet.