Google heeft informatie openbaar gemaakt over het gebruik van certificaten van een aantal smartphonefabrikanten om kwaadaardige applicaties digitaal te ondertekenen. Om digitale handtekeningen te maken, werden platformcertificaten gebruikt, die fabrikanten gebruiken om geprivilegieerde applicaties te certificeren die zijn opgenomen in de belangrijkste Android-systeemimages. Onder de fabrikanten waarvan de certificaten zijn gekoppeld aan handtekeningen van kwaadaardige applicaties zijn Samsung, LG en Mediatek. De bron van het certificaatlek is nog niet geïdentificeerd.
Het platformcertificaat ondertekent ook de “android”-systeemapplicatie, die draait onder de gebruikers-ID met de hoogste rechten (android.uid.system) en systeemtoegangsrechten heeft, inclusief tot gebruikersgegevens. Door een kwaadwillige applicatie met hetzelfde certificaat te valideren, kan deze worden uitgevoerd met dezelfde gebruikers-ID en hetzelfde toegangsniveau tot het systeem, zonder enige bevestiging van de gebruiker te ontvangen.
De geïdentificeerde kwaadaardige applicaties, ondertekend met platformcertificaten, bevatten code voor het onderscheppen van informatie en het installeren van extra externe kwaadaardige componenten in het systeem. Volgens Google zijn er geen sporen van de publicatie van de bewuste kwaadaardige applicaties in de Google Play Store-catalogus geïdentificeerd. Om gebruikers verder te beschermen, hebben Google Play Protect en de Build Test Suite, die wordt gebruikt om systeemimages te scannen, de detectie van dergelijke kwaadaardige applicaties al toegevoegd.
Om het gebruik van gecompromitteerde certificaten te blokkeren, stelde de fabrikant voor om de platformcertificaten te wijzigen door er nieuwe publieke en private sleutels voor te genereren. Fabrikanten zijn ook verplicht een intern onderzoek uit te voeren om de bron van het lek te achterhalen en maatregelen te nemen om soortgelijke incidenten in de toekomst te voorkomen. Het wordt ook aanbevolen om het aantal systeemapplicaties dat is ondertekend met een platformcertificaat te minimaliseren om de rotatie van certificaten te vereenvoudigen in geval van herhaalde lekken in de toekomst.
Bron: opennet.ru