Google je otkrio informacije o korištenju certifikata brojnih proizvođača pametnih telefona za digitalno potpisivanje zlonamjernih aplikacija. Za kreiranje digitalnih potpisa korišteni su certifikati platforme koje proizvođači koriste za certifikaciju privilegiranih aplikacija uključenih u glavne slike Android sistema. Među proizvođačima čiji su sertifikati povezani sa potpisima zlonamernih aplikacija su Samsung, LG i Mediatek. Izvor curenja certifikata još nije identificiran.
Certifikat platforme također potpisuje “android” sistemsku aplikaciju, koja radi pod korisničkim ID-om s najvišim privilegijama (android.uid.system) i ima prava pristupa sistemu, uključujući i korisničke podatke. Provjera valjanosti zlonamjerne aplikacije sa istim certifikatom omogućava njeno izvršavanje s istim korisničkim ID-om i istim nivoom pristupa sistemu, bez primanja bilo kakve potvrde od korisnika.
Identificirane zlonamjerne aplikacije potpisane certifikatima platforme sadržavale su kod za presretanje informacija i instaliranje dodatnih eksternih zlonamjernih komponenti u sistem. Prema Google-u, nikakvi tragovi objavljivanja predmetnih zlonamjernih aplikacija u katalogu Google Play Store-a nisu identificirani. Kako bi dodatno zaštitili korisnike, Google Play Protect i Build Test Suite, koji se koristi za skeniranje slika sistema, već su dodali detekciju takvih zlonamjernih aplikacija.
Kako bi blokirao korištenje ugroženih certifikata, proizvođač je predložio promjenu certifikata platforme generiranjem novih javnih i privatnih ključeva za njih. Proizvođači su takođe dužni da sprovedu internu istragu kako bi identifikovali izvor curenja i preduzeli mere za sprečavanje sličnih incidenata u budućnosti. Također se preporučuje da se minimizira broj sistemskih aplikacija koje se potpisuju korištenjem certifikata platforme kako bi se pojednostavila rotacija certifikata u slučaju ponovljenih curenja u budućnosti.
izvor: opennet.ru