Google, kötü amaçlı uygulamaları dijital olarak imzalamak için bir dizi akıllı telefon üreticisinin sertifikalarının kullanımına ilişkin bilgileri açıkladı. Dijital imzalar oluşturmak için, üreticilerin ana Android sistem görüntülerine dahil edilen ayrıcalıklı uygulamaları sertifikalandırmak için kullandıkları platform sertifikaları kullanıldı. Sertifikaları kötü amaçlı uygulamaların imzalarıyla ilişkilendirilen üreticiler arasında Samsung, LG ve Mediatek yer alıyor. Sertifika sızıntısının kaynağı henüz belirlenmedi.
Platform sertifikası aynı zamanda en yüksek ayrıcalıklara (android.uid.system) sahip kullanıcı kimliği altında çalışan ve kullanıcı verileri de dahil olmak üzere sistem erişim haklarına sahip olan "android" sistem uygulamasını da imzalar. Kötü amaçlı bir uygulamanın aynı sertifikayla doğrulanması, kullanıcıdan herhangi bir onay alınmadan aynı kullanıcı kimliğiyle ve sisteme aynı düzeyde erişimle çalıştırılmasına olanak tanır.
Platform sertifikalarıyla imzalanan tespit edilen kötü amaçlı uygulamalar, bilgilere müdahale etmek ve sisteme ek harici kötü amaçlı bileşenler yüklemek için kod içeriyordu. Google'a göre, söz konusu kötü amaçlı uygulamaların Google Play Store kataloğunda yayınlandığına dair herhangi bir iz tespit edilemedi. Kullanıcıları daha fazla korumak için Google Play Koruma ve sistem görüntülerini taramak için kullanılan Build Test Suite, bu tür kötü amaçlı uygulamaların tespitini zaten ekledi.
Üretici, güvenliği ihlal edilmiş sertifikaların kullanımını engellemek için platform sertifikalarını, bunlar için yeni genel ve özel anahtarlar oluşturarak değiştirmeyi önerdi. Üreticilerin ayrıca sızıntının kaynağını belirlemek için dahili bir araştırma yapmaları ve gelecekte benzer olayların yaşanmaması için önlem almaları gerekiyor. Gelecekte tekrarlanan sızıntılar durumunda sertifikaların rotasyonunu kolaylaştırmak için platform sertifikası kullanılarak imzalanan sistem uygulamalarının sayısının en aza indirilmesi de önerilir.
Kaynak: opennet.ru