Google parantos ngungkabkeun inpormasi ngeunaan panggunaan sertipikat ti sajumlah pabrik smartphone pikeun ngadaptarkeun aplikasi jahat sacara digital. Pikeun nyiptakeun tanda tangan digital, sertipikat platform dianggo, anu dianggo ku produsén pikeun ngajamin aplikasi anu diistimewakeun dina gambar sistem Android utama. Di antara pabrik anu sertipikatna aya hubunganana sareng tanda tangan aplikasi jahat nyaéta Samsung, LG sareng Mediatek. Sumber sertipikat bocor henteu acan diidentifikasi.
Sertipikat platform ogé nandatanganan aplikasi sistem "android", anu dijalankeun dina ID pangguna kalayan hak istimewa pangluhurna (android.uid.system) sareng gaduh hak aksés sistem, kalebet kana data pangguna. Ngavalidasi aplikasi jahat sareng sertipikat anu sami ngamungkinkeun éta dieksekusi nganggo ID pangguna anu sami sareng tingkat aksés anu sami kana sistem, tanpa nampi konfirmasi ti pangguna.
Aplikasi jahat anu dicirikeun ditandatanganan sareng sertipikat platform ngandung kode pikeun nyegat inpormasi sareng masang komponén jahat éksternal tambahan kana sistem. Numutkeun Google, teu aya jejak tina publikasi aplikasi jahat anu ditaroskeun dina katalog Google Play Store anu parantos diidentifikasi. Pikeun ngajaga langkung seueur pangguna, Google Play Protect sareng Build Test Suite, anu dianggo pikeun nyeken gambar sistem, parantos nambihan deteksi aplikasi jahat sapertos kitu.
Pikeun meungpeuk pamakean sertipikat anu dikompromi, produsén ngusulkeun ngarobih sertipikat platform ku ngahasilkeun konci umum sareng swasta anyar pikeun aranjeunna. Pabrikan ogé diwajibkeun ngalaksanakeun panalungtikan internal pikeun ngaidentipikasi sumber bocor sareng nyandak tindakan pikeun nyegah kajadian anu sami di hareup. Disarankeun ogé ngaminimalkeun jumlah aplikasi sistem anu ditandatanganan nganggo sertipikat platform pikeun nyederhanakeun rotasi sertipikat upami aya bocoran deui di hareup.
sumber: opennet.ru