Google on avalikustanud teavet mitmete nutitelefonide tootjate sertifikaatide kasutamise kohta pahatahtlike rakenduste digitaalseks allkirjastamiseks. Digiallkirjade loomiseks kasutati platvormi sertifikaate, millega tootjad sertifitseerivad peamistes Androidi süsteemipiltides sisalduvaid privilegeeritud rakendusi. Tootjate hulgas, kelle sertifikaate seostatakse pahatahtlike rakenduste allkirjadega, on Samsung, LG ja Mediatek. Sertifikaadi lekke allikat pole veel tuvastatud.
Platvormi sertifikaat allkirjastab ka süsteemirakenduse “android”, mis töötab kõrgeimate privileegidega kasutajatunnuse all (android.uid.system) ja millel on süsteemi juurdepääsuõigused, sealhulgas kasutajaandmetele. Sama sertifikaadiga pahatahtliku rakenduse valideerimine võimaldab seda käivitada sama kasutajatunnusega ja sama juurdepääsutasemega süsteemile, ilma kasutajalt kinnitust saamata.
Tuvastatud platvormisertifikaatidega allkirjastatud pahatahtlikud rakendused sisaldasid koodi teabe pealtkuulamiseks ja täiendavate väliste pahatahtlike komponentide süsteemi installimiseks. Google’i sõnul ei ole tuvastatud jälgi kõnealuste pahatahtlike rakenduste avaldamisest Google Play poe kataloogis. Kasutajate edasiseks kaitsmiseks on Google Play Protect ja süsteemipiltide skannimiseks kasutatav Build Test Suite juba lisanud selliste pahatahtlike rakenduste tuvastamise.
Ohustatud sertifikaatide kasutamise blokeerimiseks tegi tootja ettepaneku muuta platvormi sertifikaate, genereerides neile uued avalikud ja privaatvõtmed. Tootjad peavad läbi viima ka sisejuurdluse, et tuvastada lekke allikas ja võtta kasutusele meetmed sarnaste juhtumite vältimiseks tulevikus. Samuti on soovitatav minimeerida platvormi sertifikaadiga allkirjastatavate süsteemirakenduste arvu, et edaspidi korduvate lekete korral sertifikaatide rotatsiooni lihtsustada.
Allikas: opennet.ru