Ce trebuie sa stii
- S-a descoperit că s-au scurs cheile Android cruciale pentru a semna aplicațiile de sistem.
- Acest lucru ar putea oferi actorilor răi o modalitate ușoară de a injecta malware în dispozitivele Android prin intermediul aplicațiilor.
- Vulnerabilitatea a fost aparent
O scurgere majoră din Android a lăsat smartphone-urile de la Samsung și LG vulnerabile la malware, potrivit unui Googler care a scos la lumină problema.
Potrivit lui Łukasz Siewierski (via Mishaal Rahman), angajat Google și inginerie inversă de malware, au fost scurse certificatele mai multor OEM Android, care ar fi putut fi folosite pentru a injecta malware în smartphone-uri. Această vulnerabilitate a afectat mari companii Android, inclusiv Samsung, LG și MediaTek.
Companii precum Samsung folosesc certificate de platformă pentru a-și valida aplicațiile în vederea utilizării în Android. După cum este descris în detector de probleme, aplicațiile semnate cu acest certificat rulează cu un „ID de utilizator cu privilegii înalte -
android.uid.system - și deține permisiuni de sistem, inclusiv permisiuni de acces la datele utilizatorului. Orice altă aplicație semnată cu același certificat poate declara că dorește să ruleze cu același id de utilizator, oferindu-i același nivel de acces la sistemul de operare Android.”Practic, aplicațiile care folosesc aceste certificate de la producătorii OEM majori ar putea obține acces la permisiunile la nivel de sistem fără intrarea utilizatorului. Este deosebit de problematic deoarece actorii răi și-ar putea deghiza aplicațiile ca aplicații de sistem cu această metodă. Aplicațiile la nivel de sistem au permisiuni extinse și, de obicei, pot face/vaza lucruri pe telefon pe care nicio altă aplicație nu le poate face. În unele cazuri, aceste aplicații au mai multe permisiuni decât aveți dvs.
De exemplu, programele malware ar putea fi injectate în ceva precum aplicația de mesaje Samsung. Acest lucru ar putea fi semnat cu cheia Samsung. Apoi va apărea ca o actualizare, va trece toate verificările de securitate în timpul instalării și va oferi malware-ului acces aproape total la datele dvs. de utilizator în alte aplicații.
Oameni buni, asta e rău. Foarte foarte rau. Hackerii și/sau persoane din interior rău intenționate au scurs certificatele de platformă ale mai multor furnizori. Acestea sunt folosite pentru a semna aplicații de sistem pe versiuni Android, inclusiv aplicația „android” în sine. Aceste certificate sunt folosite pentru a semna aplicații Android rău intenționate! https://t.co/lhqZxuxVR91 decembrie 2022
Vezi mai mult
Există câteva vești bune, deoarece echipa de securitate Android subliniază că OEM-urile au abordat problema.
„Partenerii OEM au implementat prompt măsuri de atenuare imediat ce am raportat compromisul cheie. Utilizatorii finali vor fi protejați de măsurile de atenuare ale utilizatorilor implementate de partenerii OEM. Google a implementat detectări ample pentru malware în Build Test Suite, care scanează imaginile sistemului. De asemenea, Google Play Protect detectează malware-ul. Nu există nicio indicație că acest malware este sau a fost pe Google Play Store. Ca întotdeauna, sfătuim utilizatorii să se asigure că rulează cea mai recentă versiune de Android.”
Samsung a mai spus Poliția Android într-o declarație că actualizări au fost emise din 2016 și că „nu au existat incidente de securitate cunoscute cu privire la această potențială vulnerabilitate”.
În orice caz, din cauza protecțiilor oferite de Google Play Protect, utilizatorii nu ar trebui să-și facă griji cu privire la aceste vulnerabilități din aplicațiile pe care le instalează din Magazinul Play. Cu toate acestea, ar trebui să fiți întotdeauna atenți la încărcarea laterală a aplicațiilor pe dvs telefon cu Android și asigurați-vă întotdeauna că utilizați cea mai recentă versiune de Android.