Google は、悪意のあるアプリケーションにデジタル署名するための、多数のスマートフォン メーカーの証明書の使用に関する情報を公開しました。 デジタル署名を作成するには、メーカーがメインの Android システム イメージに含まれる特権アプリケーションを認証するために使用するプラットフォーム証明書が使用されました。 悪意のあるアプリケーションの署名に証明書が関連付けられているメーカーには、Samsung、LG、Mediatek などがあります。 証明書漏洩の原因はまだ特定されていません。
プラットフォーム証明書は、「android」システム アプリケーションにも署名します。このアプリケーションは、最高の特権 (android.uid.system) を持つユーザー ID で実行され、ユーザー データを含むシステム アクセス権を持ちます。 悪意のあるアプリケーションを同じ証明書で検証すると、ユーザーからの確認を受け取ることなく、同じユーザー ID とシステムへの同じレベルのアクセス権でアプリケーションを実行できます。
プラットフォーム証明書で署名された特定された悪意のあるアプリケーションには、情報を傍受し、追加の外部の悪意のあるコンポーネントをシステムにインストールするコードが含まれていました。 Google によると、問題の悪意のあるアプリケーションが Google Play ストア カタログに公開された形跡は確認されていません。 ユーザーをさらに保護するために、Google Play プロテクトと、システム イメージのスキャンに使用されるビルド テスト スイートには、このような悪意のあるアプリケーションの検出がすでに追加されています。
侵害された証明書の使用を阻止するために、メーカーは、新しい公開鍵と秘密鍵を生成してプラットフォーム証明書を変更することを提案しました。 メーカーには内部調査を実施して漏洩源を特定し、今後同様の事故を防止するための措置を講じることも求められている。 また、将来的に漏洩が繰り返された場合に備えて証明書のローテーションを簡素化するために、プラットフォーム証明書を使用して署名されるシステム アプリケーションの数を最小限に抑えることもお勧めします。
出所: オープンネット.ru