Google a divulgué des informations sur l'utilisation de certificats d'un certain nombre de fabricants de smartphones pour signer numériquement des applications malveillantes. Pour créer des signatures numériques, des certificats de plate-forme ont été utilisés, que les fabricants utilisent pour certifier les applications privilégiées incluses dans les principales images du système Android. Parmi les fabricants dont les certificats sont associés à des signatures d'applications malveillantes figurent Samsung, LG et Mediatek. La source de la fuite du certificat n’a pas encore été identifiée.
Le certificat de plateforme signe également l'application système « Android », qui s'exécute sous l'ID utilisateur doté des privilèges les plus élevés (android.uid.system) et dispose de droits d'accès au système, y compris aux données utilisateur. Valider une application malveillante avec le même certificat permet de l'exécuter avec le même identifiant utilisateur et le même niveau d'accès au système, sans recevoir aucune confirmation de la part de l'utilisateur.
Les applications malveillantes identifiées et signées avec des certificats de plate-forme contenaient du code permettant d'intercepter des informations et d'installer des composants malveillants externes supplémentaires dans le système. Selon Google, aucune trace de la publication des applications malveillantes en question dans le catalogue du Google Play Store n'a été identifiée. Pour protéger davantage les utilisateurs, Google Play Protect et Build Test Suite, qui est utilisé pour analyser les images système, ont déjà ajouté la détection de ces applications malveillantes.
Pour bloquer l'utilisation de certificats compromis, le constructeur a proposé de modifier les certificats de la plateforme en générant pour eux de nouvelles clés publiques et privées. Les fabricants sont également tenus de mener une enquête interne pour identifier la source de la fuite et prendre des mesures pour prévenir des incidents similaires à l'avenir. Il est également recommandé de minimiser le nombre d'applications système signées à l'aide d'un certificat de plateforme afin de simplifier la rotation des certificats en cas de fuites répétées à l'avenir.
Source: opennet.ru