Google zverejnil informácie o používaní certifikátov od viacerých výrobcov smartfónov na digitálne podpisovanie škodlivých aplikácií. Na vytváranie digitálnych podpisov boli použité certifikáty platforiem, ktoré výrobcovia používajú na certifikáciu privilegovaných aplikácií zahrnutých v hlavných obrazoch systému Android. Medzi výrobcov, ktorých certifikáty sú spojené s podpismi škodlivých aplikácií, patria Samsung, LG a Mediatek. Zdroj úniku certifikátu zatiaľ nebol identifikovaný.
Certifikát platformy podpisuje aj systémovú aplikáciu „android“, ktorá beží pod ID užívateľa s najvyššími oprávneniami (android.uid.system) a má systémové prístupové práva vrátane prístupových práv k užívateľským dátam. Overenie škodlivej aplikácie pomocou rovnakého certifikátu umožňuje, aby bola spustená s rovnakým ID používateľa a rovnakou úrovňou prístupu do systému bez prijatia akéhokoľvek potvrdenia od používateľa.
Identifikované škodlivé aplikácie podpísané certifikátmi platformy obsahovali kód na zachytávanie informácií a inštaláciu ďalších externých škodlivých komponentov do systému. Podľa Google neboli identifikované žiadne stopy po zverejnení predmetných škodlivých aplikácií v katalógu Obchodu Google Play. Na ďalšiu ochranu používateľov už Google Play Protect a Build Test Suite, ktorý sa používa na skenovanie systémových obrazov, pridali detekciu takýchto škodlivých aplikácií.
Aby sa zablokovalo používanie kompromitovaných certifikátov, výrobca navrhol zmeniť certifikáty platformy vygenerovaním nových verejných a súkromných kľúčov. Výrobcovia sú tiež povinní vykonať interné vyšetrovanie s cieľom identifikovať zdroj úniku a prijať opatrenia na predchádzanie podobným incidentom v budúcnosti. Odporúča sa tiež minimalizovať počet systémových aplikácií, ktoré sú podpísané pomocou certifikátu platformy, aby sa zjednodušilo striedanie certifikátov v prípade opakovaných únikov v budúcnosti.
Zdroj: opennet.ru