O Google divulgou informações sobre o uso de certificados de vários fabricantes de smartphones para assinar digitalmente aplicativos maliciosos. Para criar assinaturas digitais foram utilizados certificados de plataforma, que os fabricantes utilizam para certificar aplicativos privilegiados incluídos nas principais imagens do sistema Android. Entre os fabricantes cujos certificados estão associados a assinaturas de aplicativos maliciosos estão Samsung, LG e Mediatek. A origem do vazamento do certificado ainda não foi identificada.
O certificado da plataforma também assina o aplicativo do sistema “android”, que é executado sob o ID do usuário com os privilégios mais altos (android.uid.system) e possui direitos de acesso ao sistema, inclusive aos dados do usuário. Validar uma aplicação maliciosa com o mesmo certificado permite que ela seja executada com o mesmo ID de usuário e o mesmo nível de acesso ao sistema, sem receber qualquer confirmação do usuário.
Os aplicativos maliciosos identificados e assinados com certificados de plataforma continham código para interceptar informações e instalar componentes maliciosos externos adicionais no sistema. Segundo o Google, não foram identificados vestígios da publicação dos aplicativos maliciosos em questão no catálogo da Google Play Store. Para proteger ainda mais os usuários, o Google Play Protect e o Build Test Suite, usado para verificar imagens do sistema, já adicionaram a detecção desses aplicativos maliciosos.
Para bloquear o uso de certificados comprometidos, o fabricante propôs alterar os certificados da plataforma gerando novas chaves públicas e privadas para eles. Os fabricantes também são obrigados a realizar uma investigação interna para identificar a origem do vazamento e tomar medidas para evitar incidentes semelhantes no futuro. Também é recomendado minimizar o número de aplicativos do sistema assinados usando um certificado de plataforma, a fim de simplificar a rotação de certificados em caso de vazamentos repetidos no futuro.
Fonte: opennet.ru