Gipadayag sa Google ang kasayuran bahin sa paggamit sa mga sertipiko gikan sa daghang mga tiggama sa smartphone aron makapirma sa digital nga mga makadaot nga aplikasyon. Aron makahimo og mga digital nga pirma, gigamit ang mga sertipiko sa plataporma, diin ang mga tiggama nagpamatuod sa mga pribilihiyo nga aplikasyon nga bahin sa panguna nga komposisyon sa mga imahe sa sistema sa Android. Sa mga tiggama kansang mga sertipiko nalangkit sa mga pirma sa malisyosong mga aplikasyon, ang Samsung, LG ug Mediatek masubay. Wala pa matumbok ang tinubdan sa certificate leak.
Ang sertipiko sa plataporma nagpirma usab sa aplikasyon sa android system, nga nagdagan sa ilawom sa user ID nga adunay labing taas nga mga pribilehiyo (android.uid.system) ug adunay mga katungod sa pag-access sa sistema, lakip ang data sa gumagamit. Ang sertipikasyon sa usa ka malisyoso nga aplikasyon nga adunay parehas nga sertipiko nagtugot niini nga ipatuman sa parehas nga user ID ug adunay parehas nga lebel sa pag-access sa sistema, nga wala makadawat bisan unsang kumpirmasyon gikan sa tiggamit.
Ang giila nga malisyoso nga mga aplikasyon nga gipirmahan gamit ang mga sertipiko sa plataporma adunay code alang sa pag-intercept sa impormasyon ug pag-instalar og dugang nga eksternal nga makadaot nga mga sangkap ngadto sa sistema. Sumala sa Google, wala'y mga timailhan sa pagmantala sa mga malisyosong aplikasyon nga gikuwestiyon sa katalogo sa Google Play Store nga nahibal-an. Aron mapanalipdan pa ang mga tiggamit, ang Google Play Protect ug ang Build Test Suite nga gigamit sa pag-scan sa mga imahe sa sistema nakadugang na sa pag-ila sa mga malisyosong aplikasyon.
Aron mapugngan ang paggamit sa nakompromiso nga mga sertipiko, gisugyot sa tiggama nga usbon ang mga sertipiko sa plataporma pinaagi sa paghimo og bag-ong publiko ug pribado nga mga yawe alang kanila. Gimandoan usab ang mga tiggama nga maghimo usa ka internal nga imbestigasyon aron mahibal-an ang gigikanan sa pagtulo ug maghimo mga lakang aron malikayan ang susamang mga insidente sa umaabot. Girekomenda usab nga imong paminusan ang gidaghanon sa mga aplikasyon sa sistema nga naggamit usa ka sertipiko sa plataporma aron mapirmahan, aron mas dali ang pag-rotate sa mga sertipiko kung adunay balik-balik nga pagtulo sa umaabot.
Source: opennet.ru