Кампанія Google раскрыла звесткі аб выкарыстанні сертыфікатаў шэрагу вытворцаў смартфонаў для запэўнення лічбавым подпісам шкоднасных прыкладанняў. Для стварэння лічбавых подпісаў ужываліся сертыфікаты платформы, якімі вытворцы запэўніваюць прывілеяваныя прыкладанні, якія ўваходзяць у асноўны склад сістэмных выяў Android. З вытворцаў, c сертыфікатамі якіх звязаны подпісы шкоднасных прыкладанняў, прасочваюцца Samsung, LG і Mediatek. Крыніца ўцечкі сертыфікатаў пакуль не выяўлена.
Сертыфікатам платформы ў тым ліку падпісваецца сістэмны дадатак «android», які выконваецца пад ідэнтыфікатарам карыстальніка з найвышэйшымі прывілеямі (android.uid.system) і мае паўнамоцтвы сістэмнага доступу, у тым ліку да дадзеных карыстальнікаў. Запэўненне шкоднаснага прыкладання тым жа сертыфікатам, дазваляе арганізаваць яго выкананне з тым жа ідэнтыфікатарам карыстальніка і з тымі ж узроўнем доступу да сістэмы, без атрымання нейкага пацверджання ад карыстальніка.
У выяўленых шкоднасных дадатках, падпісаных сертыфікатамі платформы, прысутнічаў код для перахопу інфармацыі і ўстаноўкі ў сістэму дадатковых знешніх шкоднасных кампанентаў. Па дадзеных Google слядоў публікацыі разгляданых шкоднасных прыкладанняў у каталогу Google Play Store не выяўлена. Для дадатковай абароны карыстачоў у Google Play Protect і ў тэставы набор Build Test Suite, які ўжываецца для сканавання сістэмных выяў, ужо дададзена вызначэнне падобных шкоднасных прыкладанняў.
Для блакавання прымянення скампраметаваных сертыфікатаў вытворцам прапанавана змяніць сертыфікаты платформы, згенераваўшы для іх новыя адкрытыя і закрытыя ключы. Вытворцам таксама прадпісана правесці ўнутранае расследаванне для выяўлення крыніцы ўцечкі і прыняць меры для недапушчэння такіх інцыдэнтаў у будучыні. Таксама рэкамендавана звесці да мінімуму колькасць сістэмных дадаткаў, для подпісу якіх выкарыстоўваецца сертыфікат платформы, каб спрасціць ратацыю сертыфікатаў у выпадку паўтарэння ўцечак у будучыні.
Крыніца: opennet.ru