Google het inligting oor die gebruik van sertifikate van 'n aantal slimfoonvervaardigers bekend gemaak om kwaadwillige toepassings digitaal te onderteken. Om digitale handtekeninge te skep, is platformsertifikate gebruik waarmee vervaardigers bevoorregte toepassings sertifiseer wat deel is van die hoofsamestelling van Android-stelselbeelde. Van die vervaardigers wie se sertifikate met handtekeninge van kwaadwillige toepassings geassosieer word, kan Samsung, LG en Mediatek opgespoor word. Die bron van die sertifikaatlek is nog nie geïdentifiseer nie.
Die platformsertifikaat onderteken ook die Android-stelseltoepassing, wat onder die gebruiker-ID met die hoogste voorregte (android.uid.system) loop en stelseltoegangsregte het, insluitend tot gebruikersdata. Sertifisering van 'n kwaadwillige toepassing met dieselfde sertifikaat laat dit toe om met dieselfde gebruiker-ID en met dieselfde vlak van toegang tot die stelsel uitgevoer te word, sonder om enige bevestiging van die gebruiker te ontvang.
Die geïdentifiseerde kwaadwillige toepassings wat met platformsertifikate onderteken is, het kode bevat om inligting te onderskep en bykomende eksterne kwaadwillige komponente in die stelsel te installeer. Volgens Google is geen spore van die publikasie van die betrokke kwaadwillige toepassings in die Google Play Winkel-katalogus geïdentifiseer nie. Om gebruikers verder te beskerm, het Google Play Protect en die Build Test Suite wat gebruik word om stelselbeelde te skandeer, reeds die opsporing van sulke kwaadwillige toepassings bygevoeg.
Om die gebruik van gekompromitteerde sertifikate te blokkeer, het die vervaardiger voorgestel om die platformsertifikate te verander deur nuwe publieke en private sleutels daarvoor te genereer. Vervaardigers word ook beveel om 'n interne ondersoek te doen om die bron van die lekkasie te identifiseer en stappe te doen om soortgelyke voorvalle in die toekoms te voorkom. Dit word ook aanbeveel dat u die aantal stelseltoepassings wat 'n platformsertifikaat gebruik om te teken, verminder, om dit makliker te maak om sertifikate te roteer in geval van herhaalde lekkasies in die toekoms.
Bron: opennet.ru