Wat je moet weten
- Er werd ontdekt dat cruciale Android-sleutels om systeem-apps te ondertekenen, waren gelekt.
- Dit zou kwaadwillenden een gemakkelijke manier kunnen bieden om via apps malware in Android-apparaten te injecteren.
- De kwetsbaarheid was blijkbaar
Een groot Android-lek maakte smartphones van Samsung en LG kwetsbaar voor malware, aldus een Googler die het probleem aan het licht bracht.
Volgens Łukasz Siewierski (via Mishaal Rahman), een Google-medewerker en malware-reverse-engineer, werden de certificaten van verschillende Android-OEM's gelekt, die gebruikt zouden kunnen zijn om malware in smartphones te injecteren. Deze kwetsbaarheid trof grote Android-bedrijven, waaronder Samsung, LG en MediaTek.
Bedrijven zoals Samsung gebruiken platformcertificaten om hun apps te valideren voor gebruik binnen Android. Zoals beschreven in de uitgiftetracker, apps die met dit certificaat zijn ondertekend, worden uitgevoerd met een "zeer bevoorrechte gebruikers-ID - android.uid.systeem - en bezit systeemmachtigingen, inclusief machtigingen voor toegang tot gebruikersgegevens. Elke andere applicatie die met hetzelfde certificaat is ondertekend, kan verklaren dat het met hetzelfde gebruikers-ID wil worden uitgevoerd, waardoor het hetzelfde toegangsniveau tot het Android-besturingssysteem krijgt."
Kortom, apps die deze certificaten van grote OEM's gebruiken, kunnen zonder gebruikersinvoer toegang krijgen tot machtigingen op systeemniveau. Het is vooral problematisch omdat kwaadwillenden hun apps met deze methode kunnen vermommen als systeem-apps. Apps op systeemniveau hebben verreikende machtigingen en kunnen meestal dingen op uw telefoon doen/zien die geen enkele andere app kan. In sommige gevallen hebben deze apps meer rechten dan jij.
Er kan bijvoorbeeld malware worden geïnjecteerd in zoiets als de Samsung-berichtenapp. Deze kon worden ondertekend met de Samsung-sleutel. Het verschijnt dan als een update, slaagt tijdens de installatie voor alle beveiligingscontroles en geeft malware bijna volledige toegang tot uw gebruikersgegevens in andere apps.
Mensen, dit is slecht. Heel erg slecht. Hackers en/of kwaadwillende insiders hebben de platformcertificaten van verschillende leveranciers gelekt. Deze worden gebruikt om systeem-apps op Android-builds te ondertekenen, inclusief de "Android"-app zelf. Deze certificaten worden gebruikt om kwaadaardige Android-apps te ondertekenen! https://t.co/lhqZxuxVR91 december 2022
Bekijk meer
Er is goed nieuws, aangezien het Android-beveiligingsteam benadrukt dat OEM's het probleem blijkbaar hebben aangepakt.
"OEM-partners implementeerden onmiddellijk mitigerende maatregelen zodra we het belangrijkste compromis rapporteerden. Eindgebruikers worden beschermd door gebruikersbeperkingen die door OEM-partners zijn geïmplementeerd. Google heeft brede detecties voor de malware geïmplementeerd in Build Test Suite, die systeemafbeeldingen scant. Google Play Protect detecteert ook de malware. Er zijn geen aanwijzingen dat deze malware zich in de Google Play Store bevindt of bevond. Zoals altijd adviseren we gebruikers ervoor te zorgen dat ze de nieuwste versie van Android gebruiken."
Dat heeft Samsung ook verteld Android-politie in een verklaring dat er sinds 2016 updates zijn uitgebracht en dat "er geen beveiligingsincidenten bekend zijn met betrekking tot deze potentiële kwetsbaarheid."
In ieder geval vanwege de bescherming die wordt geboden door Google Play Protect, hoeven gebruikers zich geen zorgen te maken over deze kwetsbaarheden van apps die ze vanuit de Play Store installeren. U moet echter altijd op uw hoede zijn voor het sideloaden van apps naar uw Android telefoon en zorg er altijd voor dat u de nieuwste versie van Android gebruikt.