Google har avslöjat information om användningen av certifikat från ett antal smartphonetillverkare för att digitalt signera skadliga applikationer. För att skapa digitala signaturer användes plattformscertifikat, som tillverkare använder för att certifiera privilegierade applikationer som ingår i Android-systemavbildningarna. Bland de tillverkare vars certifikat är associerade med signaturer av skadliga applikationer finns Samsung, LG och Mediatek. Källan till certifikatläckan har ännu inte identifierats.
Plattformscertifikatet signerar också "android"-systemapplikationen, som körs under användar-ID med högsta behörighet (android.uid.system) och har systemåtkomsträttigheter, inklusive till användardata. Genom att validera en skadlig applikation med samma certifikat kan den köras med samma användar-ID och samma nivå av åtkomst till systemet, utan att få någon bekräftelse från användaren.
De identifierade skadliga applikationerna signerade med plattformscertifikat innehöll kod för att fånga upp information och installera ytterligare externa skadliga komponenter i systemet. Enligt Google har inga spår av publiceringen av de skadliga applikationerna i fråga i Google Play Store-katalogen identifierats. För att ytterligare skydda användarna har Google Play Protect och Build Test Suite, som används för att skanna systembilder, redan lagt till upptäckt av sådana skadliga applikationer.
För att blockera användningen av komprometterade certifikat föreslog tillverkaren att plattformscertifikaten skulle ändras genom att generera nya offentliga och privata nycklar för dem. Tillverkare är också skyldiga att genomföra en intern utredning för att identifiera källan till läckan och vidta åtgärder för att förhindra liknande incidenter i framtiden. Det rekommenderas också att minimera antalet systemapplikationer som signeras med ett plattformscertifikat för att förenkla rotationen av certifikat vid upprepade läckor i framtiden.
Källa: opennet.ru