Google je otkrio korištenje certifikata nekoliko proizvođača pametnih telefona za digitalno potpisivanje zlonamjernih aplikacija. Certifikati platforme, koje proizvođači koriste za potpisivanje privilegovanih aplikacija uključenih u osnovne sistemske slike, korišteni su za kreiranje digitalnih potpisa. AndroidSamsung, LG i Mediatek su među proizvođačima čiji su certifikati povezani s potpisima zlonamjernih aplikacija. Izvor curenja certifikata još nije identificiran.
Certifikat platforme također potpisuje “android” sistemsku aplikaciju, koja radi pod korisničkim ID-om s najvišim privilegijama (android.uid.system) i ima prava pristupa sistemu, uključujući i korisničke podatke. Provjera valjanosti zlonamjerne aplikacije sa istim certifikatom omogućava njeno izvršavanje s istim korisničkim ID-om i istim nivoom pristupa sistemu, bez primanja bilo kakve potvrde od korisnika.
Identificirane zlonamjerne aplikacije potpisane certifikatima platforme sadržavale su kod za presretanje informacija i instaliranje dodatnih eksternih zlonamjernih komponenti u sistem. Prema Google-u, nikakvi tragovi objavljivanja predmetnih zlonamjernih aplikacija u katalogu Google Play Store-a nisu identificirani. Kako bi dodatno zaštitili korisnike, Google Play Protect i Build Test Suite, koji se koristi za skeniranje slika sistema, već su dodali detekciju takvih zlonamjernih aplikacija.
Kako bi blokirao korištenje ugroženih certifikata, proizvođač je predložio promjenu certifikata platforme generiranjem novih javnih i privatnih ključeva za njih. Proizvođači su takođe dužni da sprovedu internu istragu kako bi identifikovali izvor curenja i preduzeli mere za sprečavanje sličnih incidenata u budućnosti. Također se preporučuje da se minimizira broj sistemskih aplikacija koje se potpisuju korištenjem certifikata platforme kako bi se pojednostavila rotacija certifikata u slučaju ponovljenih curenja u budućnosti.
izvor: opennet.ru
