Google ได้เปิดเผยข้อมูลเกี่ยวกับการใช้ใบรับรองจากผู้ผลิตสมาร์ทโฟนหลายรายเพื่อลงนามแอปพลิเคชันที่เป็นอันตรายแบบดิจิทัล ในการสร้างลายเซ็นดิจิทัล มีการใช้ใบรับรองแพลตฟอร์ม ซึ่งผู้ผลิตใช้เพื่อรับรองแอปพลิเคชันพิเศษที่รวมอยู่ในอิมเมจระบบ Android หลัก ในบรรดาผู้ผลิตที่มีใบรับรองที่เกี่ยวข้องกับลายเซ็นของแอปพลิเคชันที่เป็นอันตราย ได้แก่ Samsung, LG และ Mediatek ยังไม่ได้ระบุแหล่งที่มาของการรั่วไหลของใบรับรอง
ใบรับรองแพลตฟอร์มยังลงนามในแอปพลิเคชันระบบ “android” ซึ่งทำงานภายใต้ ID ผู้ใช้ที่มีสิทธิ์สูงสุด (android.uid.system) และมีสิทธิ์การเข้าถึงระบบ รวมถึงข้อมูลผู้ใช้ การตรวจสอบแอปพลิเคชันที่เป็นอันตรายด้วยใบรับรองเดียวกันจะทำให้สามารถดำเนินการด้วยรหัสผู้ใช้เดียวกันและการเข้าถึงระบบในระดับเดียวกัน โดยไม่ได้รับการยืนยันจากผู้ใช้
แอปพลิเคชันที่เป็นอันตรายที่ระบุซึ่งลงนามด้วยใบรับรองแพลตฟอร์มมีโค้ดสำหรับสกัดกั้นข้อมูลและติดตั้งส่วนประกอบที่เป็นอันตรายภายนอกเพิ่มเติมลงในระบบ จากข้อมูลของ Google ไม่พบร่องรอยของการเผยแพร่แอปพลิเคชันที่เป็นอันตรายที่เป็นปัญหาในแคตตาล็อก Google Play Store เพื่อปกป้องผู้ใช้เพิ่มเติม Google Play Protect และ Build Test Suite ซึ่งใช้ในการสแกนอิมเมจระบบ ได้เพิ่มการตรวจจับแอปพลิเคชันที่เป็นอันตรายดังกล่าวแล้ว
เพื่อบล็อกการใช้ใบรับรองที่ถูกบุกรุก ผู้ผลิตเสนอให้เปลี่ยนใบรับรองแพลตฟอร์มโดยสร้างคีย์สาธารณะและคีย์ส่วนตัวใหม่สำหรับใบรับรองเหล่านั้น ผู้ผลิตยังจำเป็นต้องดำเนินการตรวจสอบภายในเพื่อระบุแหล่งที่มาของการรั่วไหล และใช้มาตรการเพื่อป้องกันเหตุการณ์ที่คล้ายกันในอนาคต ขอแนะนำให้ลดจำนวนแอปพลิเคชันระบบที่ลงนามโดยใช้ใบรับรองแพลตฟอร์ม เพื่อให้การหมุนเวียนใบรับรองง่ายขึ้นในกรณีเกิดการรั่วไหลซ้ำอีกในอนาคต
ที่มา: opennet.ru