Утечка ключа Samsung для подписи Android-приложения используется для подписи вредоносного ПО

Утечка ключа Samsung для подписи Android-приложения используется для подписи вредоносного ПО

Криптографический ключ подписи разработчика является одним из основных стержней безопасности Android. Каждый раз, когда Android обновляет приложение, ключ подписи старого приложения на вашем телефоне должен совпадать с ключом обновления, которое вы устанавливаете. Совпадающие ключи гарантируют, что обновление действительно исходит от компании, которая изначально создала ваше приложение, а не является каким-то злонамеренным заговором по захвату. Если произойдет утечка ключа подписи разработчика, кто угодно сможет распространять вредоносные обновления приложений, и Android с радостью установит их, считая их законными.

На Android процесс обновления приложений предназначен не только для приложений, загруженных из магазина приложений, вы также можете обновлять встроенные системные приложения, созданные Google, производителем вашего устройства, и любые другие связанные приложения. В то время как загруженные приложения имеют строгий набор разрешений и элементов управления, встроенные системные приложения Android имеют доступ к гораздо более мощным и инвазивным разрешениям и не подпадают под обычные ограничения Play Store (вот почему Facebook всегда платит за пакетное приложение).). Если сторонний разработчик когда-либо потеряет свой ключ подписи, это будет плохо. Если OEM-производитель Android когда-либо потеряет ключ подписи своего системного приложения, это будет очень, очень плохо.

Угадай, что случилось! Лукаш Северски, член команды Google по безопасности Android, опубликовал сообщение в системе отслеживания проблем Android Partner Vulnerability Initiative (AVPI), в котором подробно описаны утечки ключей сертификатов платформы, которые активно используются для подписи вредоносных программ. Пост представляет собой просто список ключей, но запуск каждого из них через APKMirror или сайт Google VirusTotal приведет к присвоению имен некоторым скомпрометированным ключам: Samsung, LG и Mediatek являются крупными игроками в списке просочившихся ключей, наряду с некоторыми более мелкие OEM-производители, такие как Revoview и Szroco, производящие планшеты Onn для Walmart.

Эти компании каким-то образом утекли свои ключи подписи посторонним, и теперь вы не можете доверять тому, что приложения, которые утверждают, что они от этих компаний, действительно от них. Что еще хуже, «ключи сертификатов платформы», которые они потеряли, имеют серьезные разрешения. Чтобы процитировать сообщение AVPI:

Сертификат платформы — это сертификат подписи приложения, используемый для подписи приложения Android в образе системы. Приложение «Android» запускается с идентификатором пользователя с высокими привилегиями — android.uid.system — и содержит системные разрешения, включая разрешения на доступ к пользовательским данным. Любое другое приложение, подписанное с тем же сертификатом, может объявить, что оно хочет работать с тем же идентификатором пользователя, предоставляя ему такой же уровень доступа к операционной системе Android.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *