Firma Google ujawniła informacje na temat wykorzystania certyfikatów wielu producentów smartfonów do cyfrowego podpisywania złośliwych aplikacji. Do tworzenia podpisów cyfrowych wykorzystano certyfikaty platformy, za pomocą których producenci certyfikują uprzywilejowane aplikacje zawarte w głównych obrazach systemu Android. Wśród producentów, których certyfikaty są powiązane z sygnaturami szkodliwych aplikacji, są Samsung, LG i Mediatek. Źródło wycieku certyfikatu nie zostało jeszcze zidentyfikowane.
Certyfikat platformy podpisuje także aplikację systemu „android”, która działa pod identyfikatorem użytkownika z najwyższymi uprawnieniami (android.uid.system) i posiada uprawnienia dostępu do systemu, w tym do danych użytkownika. Walidacja złośliwej aplikacji za pomocą tego samego certyfikatu umożliwia jej wykonanie z tym samym identyfikatorem użytkownika i tym samym poziomem dostępu do systemu, bez konieczności otrzymywania żadnego potwierdzenia od użytkownika.
Zidentyfikowane szkodliwe aplikacje podpisane certyfikatami platformy zawierały kod służący do przechwytywania informacji i instalowania w systemie dodatkowych zewnętrznych szkodliwych komponentów. Według Google nie zidentyfikowano żadnych śladów publikacji przedmiotowych szkodliwych aplikacji w katalogu Sklepu Google Play. Aby jeszcze bardziej chronić użytkowników, Google Play Protect i Build Test Suite, które służą do skanowania obrazów systemu, dodały już funkcję wykrywania takich złośliwych aplikacji.
Aby zablokować wykorzystanie zhakowanych certyfikatów, producent zaproponował zmianę certyfikatów platformy poprzez wygenerowanie dla nich nowych kluczy publicznych i prywatnych. Producenci są również zobowiązani do przeprowadzenia wewnętrznego dochodzenia w celu zidentyfikowania źródła wycieku i podjęcia działań zapobiegających podobnym zdarzeniom w przyszłości. Zaleca się także minimalizację liczby aplikacji systemowych podpisanych przy pomocy certyfikatu platformy, aby ułatwić rotację certyfikatów w przypadku powtarzających się wycieków w przyszłości.
Źródło: opennet.ru