Vad du behöver veta
- Det upptäcktes att viktiga Android-nycklar för att signera systemappar läckte.
- Detta kan ge dåliga aktörer ett enkelt sätt att injicera skadlig programvara i Android-enheter via appar.
- Sårbarheten var tydligen
En stor Android-läcka gjorde smartphones från Samsung och LG sårbara för skadlig programvara, enligt en Googler som tog upp problemet.
Enligt Łukasz Siewierski (via Mishaal Rahman), en Google-anställd och omvänd tekniker för skadlig programvara, läckte certifikaten från flera Android OEM-tillverkare, som kunde ha använts för att injicera skadlig programvara i smartphones. Denna sårbarhet påverkade stora Android-företag, inklusive Samsung, LG och MediaTek.
Företag som Samsung använder plattformscertifikat för att validera sina appar för användning inom Android. Som beskrivs i problem tracker, appar signerade med detta certifikat körs med ett "högt privilegierad användar-id - android.uid.system - och innehar systembehörigheter, inklusive behörigheter att komma åt användardata. Alla andra applikationer signerade med samma certifikat kan förklara att de vill köra med samma användar-id, vilket ger den samma nivå av åtkomst till Android-operativsystemet."
I grund och botten kan appar som använder dessa certifikat från stora OEM-tillverkare få tillgång till behörigheter på systemnivå utan användarinmatning. Det är särskilt problematiskt eftersom dåliga skådespelare kan maskera sina appar som systemappar med den här metoden. Appar på systemnivå har långtgående behörigheter och kan vanligtvis göra/se saker på din telefon som ingen annan app kan. I vissa fall har dessa appar mer behörighet än du.
Till exempel kan skadlig programvara injiceras i något som Samsung Messages-appen. Detta kan signeras med Samsung-nyckeln. Det skulle då visas som en uppdatering, klara alla säkerhetskontroller under installationen och ge skadlig programvara nästan total tillgång till dina användardata i andra appar.
Folk, det här är dåligt. Väldigt väldigt dålig. Hackare och/eller illvilliga insiders har läckt plattformscertifikaten från flera leverantörer. Dessa används för att signera systemappar på Android-versioner, inklusive själva appen "android". Dessa certifikat används för att signera skadliga Android-appar! https://t.co/lhqZxuxVR91 december 2022
Se mer
Det finns några goda nyheter, eftersom Android Security Team framhåller att OEM-tillverkare uppenbarligen har åtgärdat problemet.
"OEM-partner implementerade omedelbart begränsningsåtgärder så snart vi rapporterade den viktigaste kompromissen. Slutanvändare kommer att skyddas av användarbegränsningar implementerade av OEM-partner. Google har implementerat breda upptäckter för skadlig programvara i Build Test Suite, som skannar systembilder. Google Play Protect upptäcker också skadlig programvara. Det finns inga tecken på att denna skadliga programvara finns eller fanns i Google Play Butik. Som alltid råder vi användare att se till att de kör den senaste versionen av Android."
Samsung berättade också Android Police i ett uttalande om att uppdateringar har utfärdats sedan 2016 och att "det inte har förekommit några kända säkerhetsincidenter angående denna potentiella sårbarhet."
I alla fall på grund av de skydd som tillhandahålls av Google Play Protect, ska användare inte behöva oroa sig för dessa sårbarheter från appar som de installerar från Play Butik. Du bör dock alltid vara försiktig med att sidladda appar till din Android telefon och se alltid till att du använder den senaste versionen av Android.