Google telah mengungkapkan informasi tentang penggunaan sertifikat dari sejumlah produsen ponsel cerdas untuk menandatangani aplikasi berbahaya secara digital. Untuk membuat tanda tangan digital, sertifikat platform digunakan, yang digunakan produsen untuk mensertifikasi aplikasi istimewa yang disertakan dalam image sistem Android utama. Di antara produsen yang sertifikatnya dikaitkan dengan tanda tangan aplikasi berbahaya adalah Samsung, LG, dan Mediatek. Sumber kebocoran sertifikat belum diketahui.
Sertifikat platform juga menandatangani aplikasi sistem βandroidβ, yang berjalan di bawah ID pengguna dengan hak istimewa tertinggi (android.uid.system) dan memiliki hak akses sistem, termasuk data pengguna. Memvalidasi aplikasi berbahaya dengan sertifikat yang sama memungkinkannya dijalankan dengan ID pengguna yang sama dan tingkat akses yang sama ke sistem, tanpa menerima konfirmasi apa pun dari pengguna.
Aplikasi berbahaya yang teridentifikasi dan ditandatangani dengan sertifikat platform berisi kode untuk mencegat informasi dan memasang komponen berbahaya eksternal tambahan ke dalam sistem. Menurut Google, tidak ada jejak publikasi aplikasi berbahaya tersebut di katalog Google Play Store yang teridentifikasi. Untuk lebih melindungi pengguna, Google Play Protect dan Build Test Suite, yang digunakan untuk memindai image sistem, telah menambahkan deteksi aplikasi berbahaya tersebut.
Untuk memblokir penggunaan sertifikat yang disusupi, pabrikan mengusulkan untuk mengubah sertifikat platform dengan membuat kunci publik dan privat baru untuk sertifikat tersebut. Produsen juga diharuskan melakukan penyelidikan internal untuk mengidentifikasi sumber kebocoran dan mengambil tindakan untuk mencegah kejadian serupa di masa mendatang. Disarankan juga untuk meminimalkan jumlah aplikasi sistem yang ditandatangani menggunakan sertifikat platform untuk menyederhanakan rotasi sertifikat jika terjadi kebocoran berulang di masa mendatang.
Sumber: opennet.ru