Google je razkril podatke o uporabi certifikatov številnih proizvajalcev pametnih telefonov za digitalno podpisovanje zlonamernih aplikacij. Za ustvarjanje digitalnih podpisov so bili uporabljeni certifikati platforme, s katerimi proizvajalci potrjujejo privilegirane aplikacije, vključene v glavne slike sistema Android. Med proizvajalci, katerih certifikati so povezani s podpisi zlonamernih aplikacij, so Samsung, LG in Mediatek. Vir uhajanja certifikata še ni odkrit.
Certifikat platforme podpisuje tudi sistemsko aplikacijo »android«, ki teče pod ID-jem uporabnika z najvišjimi privilegiji (android.uid.system) in ima pravice dostopa do sistema, tudi do uporabniških podatkov. Preverjanje veljavnosti zlonamerne aplikacije z istim certifikatom omogoča, da se izvaja z istim uporabniškim ID-jem in enako stopnjo dostopa do sistema, ne da bi od uporabnika prejeli kakršno koli potrditev.
Identificirane zlonamerne aplikacije, podpisane s platformskimi certifikati, so vsebovale kodo za prestrezanje informacij in namestitev dodatnih zunanjih zlonamernih komponent v sistem. Po navedbah Googla niso bile ugotovljene nobene sledi objave zadevnih zlonamernih aplikacij v katalogu trgovine Google Play. Za dodatno zaščito uporabnikov sta Google Play Protect in Build Test Suite, ki se uporablja za skeniranje sistemskih slik, že dodala zaznavanje tovrstnih zlonamernih aplikacij.
Za blokiranje uporabe ogroženih potrdil je proizvajalec predlagal spremembo potrdil platforme z ustvarjanjem novih javnih in zasebnih ključev zanje. Proizvajalci morajo izvesti tudi notranjo preiskavo, da ugotovijo vir uhajanja in sprejmejo ukrepe za preprečitev podobnih incidentov v prihodnosti. Priporočljivo je tudi zmanjšati število sistemskih aplikacij, ki so podpisane s potrdilom platforme, da se poenostavi rotacija potrdil v primeru ponavljajočih se uhajanj v prihodnosti.
Vir: opennet.ru