Google hat Informationen über die Verwendung von Zertifikaten mehrerer Smartphone-Hersteller zur digitalen Signatur bösartiger Anwendungen veröffentlicht. Zur Erstellung digitaler Signaturen wurden Plattformzertifikate verwendet, mit denen Hersteller privilegierte Anwendungen zertifizieren, die Teil der Hauptzusammensetzung von Android-Systemabbildern sind. Von den Herstellern, deren Zertifikate mit Signaturen bösartiger Anwendungen verknüpft sind, können Samsung, LG und Mediatek zurückverfolgt werden. Die Quelle des Zertifikatslecks wurde noch nicht identifiziert.
Das Plattformzertifikat signiert auch die Android-Systemanwendung, die unter der Benutzer-ID mit den höchsten Privilegien (android.uid.system) läuft und über Systemzugriffsrechte, auch auf Benutzerdaten, verfügt. Durch die Zertifizierung einer Schadanwendung mit demselben Zertifikat kann diese mit derselben Benutzer-ID und derselben Zugriffsebene auf das System ausgeführt werden, ohne dass eine Bestätigung des Benutzers erforderlich ist.
Die identifizierten Schadanwendungen, die mit Plattformzertifikaten signiert waren, enthielten Code zum Abfangen von Informationen und zur Installation zusätzlicher externer Schadkomponenten im System. Nach Angaben von Google wurden keine Spuren der Veröffentlichung der betreffenden Schadanwendungen im Google Play Store-Katalog gefunden. Um die Benutzer weiter zu schützen, haben Google Play Protect und die Build Test Suite, die zum Scannen von Systemabbildern verwendet wird, bereits die Erkennung solcher Schadanwendungen hinzugefügt.
Um die Verwendung kompromittierter Zertifikate zu verhindern, schlug der Hersteller vor, die Plattformzertifikate zu ändern, indem neue öffentliche und private Schlüssel für sie generiert werden. Hersteller werden außerdem angewiesen, eine interne Untersuchung durchzuführen, um die Quelle des Lecks zu ermitteln und Maßnahmen zu ergreifen, um ähnliche Vorfälle in Zukunft zu verhindern. Es wird außerdem empfohlen, die Anzahl der Systemanwendungen, die ein Plattformzertifikat zum Signieren verwenden, zu minimieren, um die Rotation von Zertifikaten im Falle wiederholter Lecks in der Zukunft zu erleichtern.
Source: opennet.ru