Google huet Informatioun iwwer d'Benotzung vun Zertifikater vun enger Zuel vu Smartphone Hiersteller verëffentlecht fir béisaarteg Uwendungen digital z'ënnerschreiwen. Fir digital Ënnerschrëften ze kreéieren, goufen Plattformzertifikater benotzt, déi Hiersteller benotze fir privilegiéiert Uwendungen ze zertifiéieren déi an den Haapt Android System Biller abegraff sinn. Ënnert den Hiersteller deenen hir Certificaten mat Ënnerschrëfte vu béiswëllegen Uwendungen assoziéiert sinn Samsung, LG a Mediatek. D'Quell vum Zertifika Leck ass nach net identifizéiert.
D'Plattform Zertifikat ënnerschreift och d'"Android" Systemapplikatioun, déi ënner der Benotzer-ID mat den héchste Privilegien (android.uid.system) leeft an huet System Zougangsrechter, och op Benotzerdaten. Validéiere vun enger béiswëlleger Applikatioun mam selwechte Zertifika erlaabt et mat der selwechter Benotzer-ID an dem selwechte Niveau vum Zougang zum System auszeféieren, ouni eng Bestätegung vum Benotzer ze kréien.
Déi identifizéiert béiswëlleg Uwendungen ënnerschriwwen mat Plattformzertifikater enthalen Code fir Informatioun z'ënnerscheeden an zousätzlech extern béiswëlleg Komponenten an de System z'installéieren. Laut Google, keng Spure vun der Verëffentlechung vun de béisaarteg Uwendungen am Google Play Store Katalog goufen identifizéiert. Fir d'Benotzer weider ze schützen, Google Play Protect an d'Build Test Suite, déi benotzt gëtt fir Systembilder ze scannen, hu scho Detektioun vu sou béiswëlleg Applikatiounen bäigefüügt.
Fir d'Benotzung vu kompromittéierten Zertifikater ze blockéieren, huet den Hiersteller proposéiert d'Plattformzertifikater z'änneren andeems se nei ëffentlech a privat Schlëssele fir si generéieren. Hiersteller mussen och eng intern Enquête maachen fir d'Quell vum Leck z'identifizéieren an Moossnamen ze huelen fir ähnlech Tëschefäll an Zukunft ze vermeiden. Et ass och recommandéiert d'Zuel vun de Systemapplikatiounen ze minimiséieren, déi mat engem Plattformzertifika ënnerschriwwe ginn, fir d'Rotatioun vun den Zertifikater am Fall vu widderholl Lecke an Zukunft ze vereinfachen.
Source: opennet.ru