谷歌披露了有关使用多家智能手机制造商的证书对恶意应用程序进行数字签名的信息。 为了创建数字签名,使用了平台证书,制造商使用平台证书来认证主要 Android 系统映像中包含的特权应用程序。 三星、LG 和联发科等制造商的证书与恶意应用程序的签名相关。 证书泄露的来源尚未确定。
平台证书还对“android”系统应用程序进行签名,该应用程序在具有最高权限的用户ID(android.uid.system)下运行,并具有系统访问权限,包括对用户数据的访问权限。 使用相同的证书验证恶意应用程序可以使用相同的用户 ID 和相同的系统访问级别来执行该应用程序,而无需收到用户的任何确认。
已识别的使用平台证书签名的恶意应用程序包含用于拦截信息并将其他外部恶意组件安装到系统中的代码。 据谷歌称,尚未发现 Google Play 商店目录中发布相关恶意应用程序的痕迹。 为了进一步保护用户,Google Play Protect 和用于扫描系统映像的 Build Test Suite 已经添加了对此类恶意应用程序的检测。
为了阻止使用受损的证书,制造商建议通过为平台证书生成新的公钥和私钥来更改平台证书。 制造商还需要进行内部调查,以确定泄漏源,并采取措施防止今后发生类似事件。 还建议尽量减少使用平台证书签名的系统应用程序的数量,以便在将来重复泄漏时简化证书的轮换。
来源: opennet.ru