Ang Google ay nagsiwalat ng impormasyon tungkol sa paggamit ng mga certificate mula sa isang bilang ng mga tagagawa ng smartphone upang digital na pumirma sa mga nakakahamak na application. Upang lumikha ng mga digital na lagda, ginamit ang mga sertipiko ng platform, na ginagamit ng mga tagagawa upang patunayan ang mga privileged na application na kasama sa mga pangunahing larawan ng Android system. Kabilang sa mga tagagawa na ang mga sertipiko ay nauugnay sa mga lagda ng mga nakakahamak na application ay ang Samsung, LG at Mediatek. Hindi pa natukoy ang pinagmulan ng certificate leak.
Pinirmahan din ng platform certificate ang "android" system application, na tumatakbo sa ilalim ng user ID na may pinakamataas na pribilehiyo (android.uid.system) at may mga karapatan sa pag-access ng system, kasama ang data ng user. Ang pag-validate sa isang nakakahamak na application na may parehong certificate ay nagbibigay-daan dito na maisakatuparan gamit ang parehong user ID at parehong antas ng access sa system, nang hindi nakakatanggap ng anumang kumpirmasyon mula sa user.
Ang mga natukoy na nakakahamak na application na nilagdaan gamit ang mga sertipiko ng platform ay naglalaman ng code para sa pagharang ng impormasyon at pag-install ng mga karagdagang panlabas na nakakahamak na bahagi sa system. Ayon sa Google, walang natukoy na bakas ng paglalathala ng mga nakakahamak na application sa catalog ng Google Play Store. Upang higit pang maprotektahan ang mga user, ang Google Play Protect at ang Build Test Suite, na ginagamit upang i-scan ang mga larawan ng system, ay nagdagdag na ng pagtuklas ng mga naturang nakakahamak na application.
Para harangan ang paggamit ng mga nakompromisong certificate, iminungkahi ng manufacturer na baguhin ang mga platform certificate sa pamamagitan ng pagbuo ng mga bagong pampubliko at pribadong key para sa kanila. Kinakailangan din ng mga tagagawa na magsagawa ng panloob na pagsisiyasat upang matukoy ang pinagmulan ng pagtagas at gumawa ng mga hakbang upang maiwasan ang mga katulad na insidente sa hinaharap. Inirerekomenda din na bawasan ang bilang ng mga application ng system na nilagdaan gamit ang isang platform certificate upang pasimplehin ang pag-ikot ng mga sertipiko sa kaso ng paulit-ulit na pagtagas sa hinaharap.
Pinagmulan: opennet.ru