洩露的 Android 應用簽名三星密鑰用於簽署惡意軟件

開發人員簽名加密密鑰是 Android 的主要安全支柱之一。每次 Android 更新應用程序時，您手機上舊應用程序的簽名密鑰必須與您正在安裝的更新密鑰匹配。匹配密鑰可確保更新確實來自最初構建您的應用程序的公司，而不是某種惡意收購陰謀。如果開發者的簽名密鑰洩露，任何人都可以分發惡意應用程序更新，而 Android 會很高興地安裝它們，認為它們是合法的。

在 Android 上，應用程序更新過程不僅適用於從應用程序商店下載的應用程序，您還可以更新由 Google、設備製造商創建的內置系統應用程序以及任何其他相關應用程序。雖然下載的應用程序具有嚴格的權限和控制集，但 Android 的內置系統應用程序可以訪問更強大和更具侵入性的權限，並且不受通常的 Play 商店限制（這就是 Facebook 總是為捆綁應用程序付費的原因）。如果第三方開發者丟失了他們的簽名密鑰，那就糟糕了。如果 Android OEM 丟失了他們的系統應用程序簽名密鑰，那將是非常非常糟糕的。

猜猜發生了什麼！Google Android 安全團隊成員 Lukasz Severski 在 Android 合作夥伴漏洞計劃 (AVPI) 問題跟踪器上發表了一篇文章，詳細介紹了大量用於簽署惡意軟件的平台證書密鑰的洩露情況。這篇文章只是一個密鑰列表，但是通過APKMirror或 Google 的VirusTotal網站運行每個密鑰將導致命名一些受損密鑰：三星、 LG和聯發科是洩露密鑰列表中的大玩家，還有一些較小的 OEM，例如Review和 Szroco 為沃爾瑪生產 Onn 平板電腦。

這些公司以某種方式將他們的簽名密鑰洩露給了外部人員，現在你不能相信那些聲稱來自這些公司的應用程序確實來自他們。更糟糕的是，他們丟失的“平台證書密鑰”具有嚴格的權限。引用 AVPI 帖子：

平台證書是用於對系統映像中的 Android 應用程序進行簽名的應用程序簽名證書。Android 應用程序使用高度特權的用戶 ID android.uid.system 運行，並包含系統權限，包括訪問用戶數據的權限。使用相同證書籤名的任何其他應用程序都可以聲明它希望使用相同的用戶 ID，從而賦予它對 Android 操作系統的相同級別的訪問權限。