Компания Google раскрыла сведения об использовании сертификатов ряда производителей смартфонов для заверения цифровой подписью вредоносных приложений. Для создания цифровых подписей применялись сертификаты платформы, которыми производители заверяют привилегированные приложения, входящие в основной состав системных образов Android. Из производителей, c сертификатами которых связаны подписи вредоносных приложений, прослеживаются Samsung, LG и Mediatek. Источник утечки сертификатов пока не выявлен.
Сертификатом платформы в том числе подписывается системное приложение «android», которое выполняется под идентификатором пользователя с наивысшим привилегиями (android.uid.system) и имеет полномочия системного доступа, в том числе к данным пользователей. Заверение вредоносного приложения тем же сертификатом, позволяет организовать его выполнение с тем же идентификатором пользователя и с теми же уровнем доступа к системе, без получения какого-то подтверждения от пользователя.
В выявленных вредоносных приложениях, подписанных сертификатами платформы, присутствовал код для перехвата информации и установки в систему дополнительных внешних вредоносных компонентов. По данным Google следов публикации рассматриваемых вредоносных приложений в каталоге Google Play Store не выявлено. Для дополнительной защиты пользователей в Google Play Protect и в тестовый набор Build Test Suite, применяемый для сканирования системных образов, уже добавлено определение подобных вредоносных приложений.
Для блокирования применения скомпрометированных сертификатов производителем предложено сменить сертификаты платформы, сгенерировав для них новые открытые и закрытые ключи. Производителям также предписано провести внутреннее расследование для выявления источника утечки и принять меры для недопущения подобных инцидентов в будущем. Также рекомендовано свести к минимуму число системных приложений, для подписи которых используется сертификат платформы, чтобы упростить ротацию сертификатов в случае повторения утечек в будущем.
Ақпарат көзі: opennet.ru