Google-ը տեղեկատվություն է հրապարակել մի շարք սմարթֆոնների արտադրողների կողմից վնասակար հավելվածների թվային ստորագրման վկայագրերի օգտագործման մասին: Թվային ստորագրություններ ստեղծելու համար օգտագործվել են հարթակի վկայականներ, որոնք արտադրողներն օգտագործում են Android համակարգի հիմնական պատկերներում ներառված արտոնյալ հավելվածների հավաստագրման համար։ Արտադրողների թվում, որոնց վկայականները կապված են վնասակար հավելվածների ստորագրությունների հետ, առանձնանում են Samsung-ը, LG-ն և Mediatek-ը: Վկայագրի արտահոսքի աղբյուրը դեռ պարզված չէ։
Պլատֆորմի վկայագիրը ստորագրում է նաև «android» համակարգի հավելվածը, որն աշխատում է ամենաբարձր արտոնություններով օգտվողի ID-ի ներքո (android.uid.system) և ունի համակարգ մուտքի իրավունքներ, ներառյալ օգտվողի տվյալները: Նույն վկայականով վնասակար հավելվածի վավերացումը թույլ է տալիս այն գործարկել նույն օգտատիրոջ ID-ով և համակարգ մուտքի նույն մակարդակով՝ առանց օգտատիրոջ կողմից որևէ հաստատում ստանալու:
Հայտնաբերված վնասակար հավելվածները, որոնք ստորագրված են հարթակի վկայագրերով, պարունակում էին տեղեկատվություն գաղտնալսելու և համակարգում լրացուցիչ արտաքին վնասակար բաղադրիչներ տեղադրելու կոդ: Google-ի տվյալներով՝ Google Play Store կատալոգում խնդրո առարկա վնասակար հավելվածների հրապարակման հետքեր չեն հայտնաբերվել։ Օգտատերերին ավելի պաշտպանելու համար Google Play Protect-ը և Build Test Suite-ը, որն օգտագործվում է համակարգի պատկերները սկանավորելու համար, արդեն ավելացրել են նման վնասակար հավելվածների հայտնաբերումը:
Վտանգված սերտիֆիկատների օգտագործումն արգելափակելու համար արտադրողն առաջարկել է փոխել հարթակի վկայականները՝ դրանց համար ստեղծելով նոր հանրային և մասնավոր բանալիներ։ Արտադրողներից պահանջվում է նաև ներքին հետաքննություն անցկացնել՝ բացահայտելու արտահոսքի աղբյուրը և միջոցներ ձեռնարկել ապագայում նմանատիպ միջադեպերը կանխելու համար: Առաջարկվում է նաև նվազագույնի հասցնել համակարգային հավելվածների թիվը, որոնք ստորագրվում են հարթակի վկայագրի միջոցով՝ հետագայում կրկնվող արտահոսքի դեպքում վկայագրերի ռոտացիան հեշտացնելու համար:
Source: opennet.ru