Google revelou información sobre o uso de certificados de varios fabricantes de teléfonos intelixentes para asinar dixitalmente aplicacións maliciosas. Para crear sinaturas dixitais utilizáronse certificados de plataforma, que os fabricantes utilizan para certificar as aplicacións privilexiadas incluídas nas principais imaxes do sistema Android. Entre os fabricantes cuxos certificados están asociados a sinaturas de aplicacións maliciosas están Samsung, LG e Mediatek. Aínda non se identificou a fonte da fuga do certificado.
O certificado da plataforma tamén asina a aplicación do sistema "android", que se executa baixo o ID de usuario cos privilexios máis altos (android.uid.system) e ten dereitos de acceso ao sistema, incluídos os datos do usuario. Validar unha aplicación maliciosa co mesmo certificado permite executala co mesmo ID de usuario e co mesmo nivel de acceso ao sistema, sen recibir ningunha confirmación por parte do usuario.
As aplicacións maliciosas identificadas asinadas con certificados de plataforma contiñan código para interceptar información e instalar compoñentes maliciosos externos adicionais no sistema. Segundo Google, non se identificaron rastros da publicación das aplicacións maliciosas en cuestión no catálogo de Google Play Store. Para protexer aínda máis aos usuarios, Google Play Protect e Build Test Suite, que se usa para escanear imaxes do sistema, xa engadiron a detección deste tipo de aplicacións maliciosas.
Para bloquear o uso de certificados comprometidos, o fabricante propuxo cambiar os certificados da plataforma xerando novas claves públicas e privadas para eles. Os fabricantes tamén están obrigados a realizar unha investigación interna para identificar a orixe da fuga e tomar medidas para evitar incidentes similares no futuro. Tamén se recomenda minimizar o número de aplicacións do sistema que se asinan mediante un certificado de plataforma para simplificar a rotación de certificados en caso de fugas repetidas no futuro.
Fonte: opennet.ru