Η Google αποκάλυψε πληροφορίες σχετικά με τη χρήση πιστοποιητικών από διάφορους κατασκευαστές smartphone για την ψηφιακή υπογραφή κακόβουλων εφαρμογών. Για τη δημιουργία ψηφιακών υπογραφών, χρησιμοποιήθηκαν πιστοποιητικά πλατφόρμας, τα οποία χρησιμοποιούν οι κατασκευαστές για την πιστοποίηση προνομιακών εφαρμογών που περιλαμβάνονται στις κύριες εικόνες του συστήματος Android. Μεταξύ των κατασκευαστών των οποίων τα πιστοποιητικά σχετίζονται με υπογραφές κακόβουλων εφαρμογών είναι η Samsung, η LG και η Mediatek. Η πηγή της διαρροής πιστοποιητικού δεν έχει ακόμη εντοπιστεί.
Το πιστοποιητικό πλατφόρμας υπογράφει επίσης την εφαρμογή συστήματος «android», η οποία εκτελείται κάτω από το αναγνωριστικό χρήστη με τα υψηλότερα δικαιώματα (android.uid.system) και έχει δικαιώματα πρόσβασης στο σύστημα, συμπεριλαμβανομένων των δεδομένων χρήστη. Η επικύρωση μιας κακόβουλης εφαρμογής με το ίδιο πιστοποιητικό επιτρέπει την εκτέλεσή της με το ίδιο αναγνωριστικό χρήστη και το ίδιο επίπεδο πρόσβασης στο σύστημα, χωρίς να λαμβάνεται καμία επιβεβαίωση από τον χρήστη.
Οι εντοπισμένες κακόβουλες εφαρμογές που υπογράφηκαν με πιστοποιητικά πλατφόρμας περιείχαν κώδικα για την υποκλοπή πληροφοριών και την εγκατάσταση πρόσθετων εξωτερικών κακόβουλων στοιχείων στο σύστημα. Σύμφωνα με την Google, δεν έχουν εντοπιστεί ίχνη από τη δημοσίευση των εν λόγω κακόβουλων εφαρμογών στον κατάλογο του Google Play Store. Για την περαιτέρω προστασία των χρηστών, το Google Play Protect και το Build Test Suite, το οποίο χρησιμοποιείται για τη σάρωση εικόνων συστήματος, έχουν ήδη προσθέσει τον εντοπισμό τέτοιων κακόβουλων εφαρμογών.
Για να αποκλείσει τη χρήση παραβιασμένων πιστοποιητικών, ο κατασκευαστής πρότεινε την αλλαγή των πιστοποιητικών πλατφόρμας δημιουργώντας νέα δημόσια και ιδιωτικά κλειδιά για αυτά. Οι κατασκευαστές υποχρεούνται επίσης να διεξάγουν εσωτερική έρευνα για να εντοπίσουν την πηγή της διαρροής και να λάβουν μέτρα για την αποτροπή παρόμοιων περιστατικών στο μέλλον. Συνιστάται επίσης η ελαχιστοποίηση του αριθμού των εφαρμογών συστήματος που υπογράφονται με χρήση πιστοποιητικού πλατφόρμας, προκειμένου να απλοποιηθεί η εναλλαγή των πιστοποιητικών σε περίπτωση επαναλαμβανόμενων διαρροών στο μέλλον.
Πηγή: opennet.ru