Google zveřejnil informace o používání certifikátů od řady výrobců chytrých telefonů k digitálnímu podepisování škodlivých aplikací. K vytváření digitálních podpisů byly použity certifikáty platforem, které výrobci používají k certifikaci privilegovaných aplikací obsažených v hlavních obrazech systému Android. Mezi výrobce, jejichž certifikáty jsou spojeny s podpisy škodlivých aplikací, patří Samsung, LG a Mediatek. Zdroj úniku certifikátu zatím nebyl identifikován.
Certifikát platformy také podepisuje systémovou aplikaci „android“, která běží pod uživatelským ID s nejvyššími oprávněními (android.uid.system) a má systémová přístupová práva včetně uživatelských dat. Ověření škodlivé aplikace pomocí stejného certifikátu umožňuje její spuštění se stejným uživatelským ID a stejnou úrovní přístupu do systému, aniž by uživatel obdržel jakékoli potvrzení.
Identifikované škodlivé aplikace podepsané certifikáty platformy obsahovaly kód pro zachycení informací a instalaci dalších externích škodlivých součástí do systému. Podle společnosti Google nebyly identifikovány žádné stopy po zveřejnění předmětných škodlivých aplikací v katalogu Obchodu Google Play. Pro další ochranu uživatelů již přidaly detekci takových škodlivých aplikací Google Play Protect a Build Test Suite, která se používá ke skenování systémových obrazů.
Pro zablokování používání kompromitovaných certifikátů výrobce navrhl změnu certifikátů platformy vygenerováním nových veřejných a soukromých klíčů. Výrobci jsou také povinni provést interní vyšetřování s cílem identifikovat zdroj úniku a přijmout opatření, aby se podobným incidentům v budoucnu zabránilo. Doporučuje se také minimalizovat počet systémových aplikací podepsaných pomocí certifikátu platformy, aby se zjednodušila rotace certifikátů v případě opakovaných úniků v budoucnu.
Zdroj: opennet.ru