Google ha diffuso informazioni sull'utilizzo dei certificati di numerosi produttori di smartphone per firmare digitalmente applicazioni dannose. Per creare le firme digitali sono stati utilizzati i certificati di piattaforma, che i produttori utilizzano per certificare le applicazioni privilegiate incluse nelle principali immagini del sistema Android. Tra i produttori i cui certificati sono associati a firme di applicazioni dannose figurano Samsung, LG e Mediatek. La fonte della fuga di certificati non Γ¨ stata ancora identificata.
Il certificato della piattaforma firma anche l'applicazione di sistema "android", che viene eseguita con l'ID utente con i privilegi piΓΉ elevati (android.uid.system) e dispone dei diritti di accesso al sistema, inclusi i dati dell'utente. Convalidare un'applicazione dannosa con lo stesso certificato consente di eseguirla con lo stesso ID utente e lo stesso livello di accesso al sistema, senza ricevere alcuna conferma da parte dell'utente.
Le applicazioni dannose identificate e firmate con certificati della piattaforma contenevano codice per intercettare informazioni e installare nel sistema ulteriori componenti dannosi esterni. Secondo Google non sono state individuate tracce della pubblicazione delle applicazioni dannose in questione nel catalogo del Google Play Store. Per proteggere ulteriormente gli utenti, Google Play Protect e Build Test Suite, utilizzata per scansionare le immagini di sistema, hanno giΓ aggiunto il rilevamento di tali applicazioni dannose.
Per bloccare l'utilizzo di certificati compromessi, il produttore ha proposto di modificare i certificati della piattaforma generando per essi nuove chiavi pubbliche e private. I produttori sono inoltre tenuti a condurre un'indagine interna per identificare la fonte della perdita e adottare misure per prevenire incidenti simili in futuro. Si consiglia inoltre di ridurre al minimo il numero di applicazioni di sistema firmate utilizzando un certificato di piattaforma al fine di semplificare la rotazione dei certificati in caso di ripetute fughe di notizie in futuro.
Fonte: opennet.ru