Co musisz wiedzieć
- Odkryto, że wyciekły kluczowe klucze Androida do podpisywania aplikacji systemowych.
- Może to zapewnić hakerom łatwy sposób na wprowadzanie złośliwego oprogramowania do urządzeń z Androidem za pośrednictwem aplikacji.
- Najwyraźniej luka była
Według pracownika Google, który ujawnił problem, poważny wyciek Androida sprawił, że smartfony Samsunga i LG były podatne na złośliwe oprogramowanie.
Według Łukasza Siewierskiego (przez Mishaal Rahman), pracownik Google i inżynier wsteczny złośliwego oprogramowania, wyciekły certyfikaty kilku producentów OEM Androida, które mogły zostać wykorzystane do wstrzyknięcia złośliwego oprogramowania do smartfonów. Luka ta dotknęła głównych producentów Androida, w tym Samsunga, LG i MediaTek.
Firmy takie jak Samsung używają certyfikatów platformy do sprawdzania poprawności swoich aplikacji do użytku w systemie Android. Jak opisano w Lista problemow, aplikacje podpisane tym certyfikatem działają z „wysoce uprzywilejowanym identyfikatorem użytkownika –
android.uid.system - oraz posiada uprawnienia systemowe, w tym uprawnienia dostępu do danych użytkownika. Każda inna aplikacja podpisana tym samym certyfikatem może zadeklarować, że chce działać z tym samym identyfikatorem użytkownika, dając jej ten sam poziom dostępu do systemu operacyjnego Android.”Zasadniczo aplikacje używające tych certyfikatów od głównych producentów OEM mogą uzyskać dostęp do uprawnień na poziomie systemu bez udziału użytkownika. Jest to szczególnie problematyczne, ponieważ źli aktorzy mogą zamaskować swoje aplikacje jako aplikacje systemowe za pomocą tej metody. Aplikacje na poziomie systemu mają daleko idące uprawnienia i zwykle mogą robić/widzieć na telefonie rzeczy, których nie może zrobić żadna inna aplikacja. W niektórych przypadkach te aplikacje mają większe uprawnienia niż Ty.
Na przykład złośliwe oprogramowanie może zostać wstrzyknięte do czegoś takiego jak aplikacja Samsung Messages. Można to podpisać kluczem Samsunga. Następnie pojawi się jako aktualizacja, przejdzie wszystkie kontrole bezpieczeństwa podczas instalacji i zapewni złośliwemu oprogramowaniu prawie całkowity dostęp do danych użytkownika w innych aplikacjach.
Ludzie, to jest złe. Bardzo bardzo źle. Hakerzy i/lub złośliwi wtajemniczeni ujawnili certyfikaty platform kilku dostawców. Służą one do podpisywania aplikacji systemowych w kompilacjach systemu Android, w tym samej aplikacji „Android”. Te certyfikaty są używane do podpisywania złośliwych aplikacji na Androida! https://t.co/lhqZxuxVR91 grudnia 2022 r
Zobacz więcej
Mamy dobre wieści, ponieważ zespół Android Security Team podkreśla, że producenci OEM najwyraźniej zajęli się tym problemem.
„Partnerzy OEM niezwłocznie wdrożyli środki zaradcze, gdy tylko zgłosiliśmy kluczowy kompromis. Użytkownicy końcowi będą chronieni przez środki zaradcze dla użytkowników wdrożone przez partnerów OEM. Google wdrożyło szerokie wykrywanie złośliwego oprogramowania w pakiecie Build Test Suite, który skanuje obrazy systemu. Google Play Protect wykrywa również złośliwe oprogramowanie. Nic nie wskazuje na to, że to złośliwe oprogramowanie jest lub było w sklepie Google Play. Jak zawsze radzimy użytkownikom, aby upewnili się, że korzystają z najnowszej wersji Androida”.
Samsung też powiedział Policja Androida w oświadczeniu, że aktualizacje były wydawane od 2016 roku i że „nie było znanych incydentów bezpieczeństwa dotyczących tej potencjalnej luki”.
W każdym razie, ze względu na zabezpieczenia zapewniane przez Ochrona Google Play, użytkownicy nie powinni martwić się o te luki w aplikacjach, które instalują ze Sklepu Play. Jednak zawsze powinieneś uważać na boczne ładowanie aplikacji do swojego telefon z systemem Android i zawsze upewnij się, że używasz najnowszej wersji Androida.