Компанія Google розкрила відомості про використання сертифікатів ряду виробників смартфонів для засвідчення цифровим підписом шкідливих програм. Для створення цифрових підписів застосовувалися сертифікати платформи, якими виробники засвідчують привілейовані програми, що входять до основного складу системних образів Android. З виробників, з сертифікатами яких пов'язані підписи шкідливих програм, простежуються Samsung, LG і Mediatek. Джерело витоку сертифікатів поки не виявлено.
Сертифікатом платформи у тому числі підписується системний додаток «android», який виконується під ідентифікатором користувача з найвищими привілеями (android.uid.system) та має повноваження системного доступу, у тому числі до даних користувачів. Засвідчення шкідливого застосування тим же сертифікатом, дозволяє організувати його виконання з тим самим ідентифікатором користувача та з тим самим рівнем доступу до системи, без отримання якогось підтвердження від користувача.
У виявлених шкідливих додатках, підписаних сертифікатами платформи, був присутній код для перехоплення інформації та встановлення додаткових зовнішніх шкідливих компонентів. За даними Google слідів публікації шкідливих програм, що розглядаються, в каталозі Google Play Store не виявлено. Для додаткового захисту користувачів у Google Play Protect і в тестовий набір Build Test Suite, який використовується для сканування системних образів, вже додано визначення таких шкідливих програм.
Для блокування застосування скомпрометованих сертифікатів виробником запропоновано змінити сертифікати платформи, згенерувавши для них нові відкриті та закриті ключі. Виробникам також наказано провести внутрішнє розслідування для виявлення джерела витоку та вжити заходів для недопущення таких інцидентів у майбутньому. Також рекомендовано звести до мінімуму кількість системних програм, для підпису яких використовується сертифікат платформи, щоб спростити ротацію сертифікатів у разі повторення витоків у майбутньому.
Джерело: opennet.ru