Google ir atklājusi informāciju par vairāku viedtālruņu ražotāju sertifikātu izmantošanu ļaunprātīgu lietojumprogrammu digitālai parakstīšanai. Lai izveidotu digitālos parakstus, tika izmantoti platformas sertifikāti, kurus ražotāji izmanto, lai sertificētu priviliģētās lietojumprogrammas, kas iekļautas galvenajos Android sistēmas attēlos. Starp ražotājiem, kuru sertifikāti ir saistīti ar ļaunprātīgu lietojumprogrammu parakstiem, ir Samsung, LG un Mediatek. Sertifikāta noplūdes avots vēl nav noskaidrots.
Platformas sertifikāts paraksta arī “android” sistēmas lietojumprogrammu, kas darbojas ar lietotāja ID ar visaugstākajām privilēģijām (android.uid.system) un kurai ir sistēmas piekļuves tiesības, tostarp lietotāja datiem. Ļaunprātīgas lietojumprogrammas validācija ar vienu un to pašu sertifikātu ļauj to izpildīt ar tādu pašu lietotāja ID un tādu pašu piekļuves līmeni sistēmai, nesaņemot no lietotāja apstiprinājumu.
Identificētās ļaunprātīgās lietojumprogrammas, kas parakstītas ar platformas sertifikātiem, ietvēra kodu informācijas pārtveršanai un papildu ārējo ļaunprātīgo komponentu instalēšanai sistēmā. Kā norāda Google, nav konstatētas pēdas par attiecīgo kaitīgo aplikāciju publicēšanu Google Play veikala katalogā. Lai vēl vairāk aizsargātu lietotājus, Google Play Protect un Build Test Suite, ko izmanto sistēmas attēlu skenēšanai, jau ir pievienojuši šādu ļaunprātīgu lietojumprogrammu noteikšanu.
Lai bloķētu apdraudētu sertifikātu izmantošanu, ražotājs ierosināja mainīt platformas sertifikātus, ģenerējot tiem jaunas publiskās un privātās atslēgas. Tāpat ražotājiem ir jāveic iekšējā izmeklēšana, lai noteiktu noplūdes avotu un veiktu pasākumus, lai novērstu līdzīgus incidentus nākotnē. Ieteicams arī līdz minimumam samazināt to sistēmas lietojumprogrammu skaitu, kuras tiek parakstītas, izmantojot platformas sertifikātu, lai turpmāk vienkāršotu sertifikātu rotāciju atkārtotas noplūdes gadījumā.
Avots: opennet.ru