Google-k telefono mugikorren fabrikatzaile batzuen ziurtagirien erabilerari buruzko informazioa zabaldu du aplikazio gaiztoak digitalki sinatzeko. Sinadura digitalak sortzeko, plataforma-ziurtagiriak erabili ziren, fabrikatzaileek Android sistemaren irudi nagusietan sartutako aplikazio pribilegiatuak ziurtatzeko erabiltzen dituztenak. Aplikazio maltzurren sinadurarekin lotutako ziurtagiriak Samsung, LG eta Mediatek daude fabrikatzaileen artean. Ziurtagiriaren ihesaren iturria oraindik ez da identifikatu.
Plataformaren ziurtagiriak "android" sistemaren aplikazioa ere sinatzen du, pribilegio handienak dituen erabiltzailearen IDaren azpian exekutatzen dena (android.uid.system) eta sistemarako sarbide-eskubideak dituena, erabiltzailearen datuetarako barne. Ziurtagiri berdina duen aplikazio gaizto bat balioztatzeak erabiltzaile ID berarekin eta sistemarako sarbide maila berdinarekin exekutatzeko aukera ematen du, erabiltzailearen inongo baieztapenik jaso gabe.
Plataforma-ziurtagiriekin sinatutako identifikatutako aplikazio gaiztoek informazioa atzemateko eta sisteman kanpoko osagai gaizto osagarriak instalatzeko kodea zuten. Google-ren arabera, Google Play Store katalogoan aipatutako aplikazio gaiztoak argitaratzearen arrastorik ez da identifikatu. Erabiltzaileak gehiago babesteko, Google Play Protect eta Build Test Suite-k, sistemaren irudiak eskaneatzeko erabiltzen dena, aplikazio gaiztoen detekzioa gehitu dute dagoeneko.
Ziurtagiri arriskutsuen erabilera blokeatzeko, fabrikatzaileak plataformako ziurtagiriak aldatzea proposatu zuen haientzako gako publiko eta pribatu berriak sortuz. Fabrikatzaileek barne ikerketa bat egin behar dute, gainera, ihesaren iturria identifikatzeko eta etorkizunean antzeko gertakariak saihesteko neurriak hartzeko. Era berean, plataforma-ziurtagiria erabiliz sinatzen diren sistema-aplikazioen kopurua murriztea gomendatzen da, etorkizunean behin eta berriz filtrazioen kasuan ziurtagirien txanda errazteko.
Iturria: opennet.ru