Google har afsløret information om brugen af certifikater fra en række smartphone-producenter til digitalt at signere ondsindede applikationer. For at skabe digitale signaturer blev der brugt platformscertifikater, med hvilke producenter certificerer privilegerede applikationer, der er en del af hovedsammensætningen af Android-systembilleder. Af de producenter, hvis certifikater er forbundet med signaturer af ondsindede applikationer, kan Samsung, LG og Mediatek spores. Kilden til certifikatlækken er endnu ikke identificeret.
Platformcertifikatet signerer også android-systemapplikationen, som kører under bruger-id'et med de højeste privilegier (android.uid.system) og har systemadgangsrettigheder, herunder til brugerdata. Certificering af en ondsindet applikation med det samme certifikat gør det muligt at udføre den med samme bruger-id og med samme adgangsniveau til systemet uden at modtage nogen bekræftelse fra brugeren.
De identificerede ondsindede applikationer signeret med platformscertifikater indeholdt kode til at opsnappe information og installere yderligere eksterne skadelige komponenter i systemet. Ifølge Google er der ikke fundet spor efter offentliggørelsen af de pågældende ondsindede applikationer i Google Play Butiks katalog. For yderligere at beskytte brugerne har Google Play Protect og Build Test Suite, der bruges til at scanne systembilleder, allerede tilføjet detektering af sådanne ondsindede applikationer.
For at blokere brugen af kompromitterede certifikater foreslog producenten at ændre platformscertifikaterne ved at generere nye offentlige og private nøgler til dem. Producenter er også beordret til at foretage en intern undersøgelse for at identificere kilden til lækagen og tage skridt til at forhindre lignende hændelser i fremtiden. Det anbefales også, at du minimerer antallet af systemapplikationer, der bruger et platformscertifikat til at signere, for at gøre det nemmere at rotere certifikater i tilfælde af gentagne lækager i fremtiden.
Kilde: opennet.ru