Google har avslørt informasjon om bruken av sertifikater fra en rekke smarttelefonprodusenter for å signere ondsinnede applikasjoner digitalt. For å lage digitale signaturer ble det brukt plattformsertifikater, som produsenter bruker for å sertifisere privilegerte applikasjoner som er inkludert i de viktigste Android-systembildene. Blant produsentene hvis sertifikater er knyttet til signaturer av ondsinnede applikasjoner er Samsung, LG og Mediatek. Kilden til sertifikatlekkasjen er ennå ikke identifisert.
Plattformsertifikatet signerer også «android»-systemapplikasjonen, som kjører under bruker-IDen med de høyeste privilegiene (android.uid.system) og har systemtilgangsrettigheter, inkludert til brukerdata. Ved å validere en ondsinnet applikasjon med samme sertifikat kan den kjøres med samme bruker-ID og samme tilgangsnivå til systemet, uten å motta noen bekreftelse fra brukeren.
De identifiserte ondsinnede applikasjonene signert med plattformsertifikater inneholdt kode for å avskjære informasjon og installere ytterligere eksterne skadelige komponenter i systemet. Ifølge Google er det ikke identifisert spor etter publiseringen av de aktuelle ondsinnede applikasjonene i Google Play Store-katalogen. For å beskytte brukerne ytterligere har Google Play Protect og Build Test Suite, som brukes til å skanne systembilder, allerede lagt til gjenkjenning av slike skadelige applikasjoner.
For å blokkere bruken av kompromitterte sertifikater, foreslo produsenten å endre plattformsertifikatene ved å generere nye offentlige og private nøkler for dem. Produsenter er også pålagt å gjennomføre en intern undersøkelse for å identifisere kilden til lekkasjen og iverksette tiltak for å forhindre lignende hendelser i fremtiden. Det anbefales også å minimere antallet systemapplikasjoner som signeres ved hjelp av et plattformsertifikat for å forenkle rotasjonen av sertifikater ved gjentatte lekkasjer i fremtiden.
Kilde: opennet.ru