Витік ключа Samsung для підпису додатків Android, який використовується для підпису шкідливих програм
Криптографічний ключ, який підписує розробник, є одним із основних стовпів безпеки Android. Щоразу, коли Android оновлює програму, ключ підпису старої програми на вашому телефоні має збігатися з ключем оновлення, який ви встановлюєте. Збіги ключів гарантують, що оновлення справді надходить від компанії, яка створила ваш додаток, а не є зловмисним планом захоплення. У разі витоку ключа підпису розробника будь-хто може поширювати шкідливі оновлення програм, і Android із задоволенням їх встановить, вважаючи, що вони законні.
На Android процес оновлення програм стосується не лише програм, завантажених із магазину програм, ви також можете оновлювати вбудовані системні програми, створені Google, виробником вашого пристрою, та будь-які інші пов’язані програми. У той час як завантажені програми мають суворий набір дозволів і елементів керування, вбудовані системні програми Android мають доступ до набагато потужніших і інвазивніших дозволів і не підпадають під звичайні обмеження Play Store (саме тому Facebook завжди платить за програму в комплекті). Якщо сторонній розробник колись втратить свій ключ підпису, це буде погано. Якщо OEM-виробник Android коли-небудь втратить ключ підпису своєї системної програми, це буде дуже, дуже погано.
Вгадайте, що сталося! Лукаш Сіверскі, член команди Google з безпеки Android, опублікував допис у системі відстеження проблем Android Partner Vulnerability Initiative (AVPI), в якому описується витік ключів сертифікатів платформи , які широко використовуються для підпису зловмисного програмного забезпечення. Публікація — це лише список ключів, але запуск кожного з них через APKMirror або сайт Google VirusTotal призведе до вказування деяких зламаних ключів: Samsung , LG і Mediatek є великими гравцями в списку витоку ключів разом із деякими меншими OEM-виробниками, такими як Review і Szroco, які виготовляють планшети Onn для Walmart.
Ці компанії якимось чином передали стороннім особам свої ключі підпису, і тепер ви не можете довіряти, що програми, які нібито створені цими компаніями, насправді створені ними. Що ще гірше, «ключі сертифікатів платформи», які вони втратили, мають серйозні дозволи. Щоб процитувати допис AVPI:
Сертифікат платформи — це сертифікат підпису програми, який використовується для підпису програми Android у системному образі. Додаток для Android працює з ідентифікатором користувача з високим рівнем привілеїв android.uid.system і містить системні дозволи, зокрема дозволи на доступ до даних користувача. Будь-яка інша програма, підписана тим самим сертифікатом, може оголосити, що вона хоче працювати з тим самим ідентифікатором користувача, надаючи їй той самий рівень доступу до операційної системи Android.
Залишити відповідь