Утечка ключей подписи нескольких OEM-производителей Android, используемых для подписи вредоносного ПО

В недавней разработке несколько ключей подписи, используемых OEM-производителем Android для цифровой подписи основных системных приложений, использовались для подписи приложений Android, содержащих вредоносные программы.

Что ж, на Android, чтобы обновить приложение, ключ подписи на вашем телефоне должен совпадать с ключами обновления, которое вы устанавливаете, тогда соответствующий ключ подтверждает, что обновление является законным, исходящим от OEM (производителя оригинального оборудования) или разработчика. кто сделал приложение, а не из какого-то злонамеренного источника.

Таким образом, процедура обновления приложений предназначена не только для приложений, которые вы загружаете из Google Play Store, но и для связанных приложений, которые вы можете обновить, которые поступают от Google или OEM. Уже существует твердый набор правил или разрешений для приложений, которые вы загружаете из магазина игр, хотя связанные приложения имеют больший доступ к гораздо более мощным разрешениям, чем приложения в магазине игр.

Если OEM-производитель потерял или потерял свой ключ подписи системного приложения и если вредоносные приложения вошли в систему с тем же ключом подписи, который соответствует высокопривилегированному ‘android.uid.система‘ идентификатор пользователя, то приложения также получат доступ на уровне системы к устройству Android.

Идентификатор системы Android

Эти привилегии дают доступ к мощным разрешениям, которые обычно не предоставляются приложениям, таким как установка или удаление пакетов, управление текущими вызовами, сбор информации об устройстве или другие конфиденциальные действия.

Злоупотребление этими ключами было впервые обнаружен Лукашем Северскимкоторый является резервным инженером в группе безопасности Google Android, отчет, который теперь доступен на Трекер Android Partner Vulnerability Initiative.

Согласно APVI, сертификат платформы — это сертификат подписи приложения, используемый для подписи приложений Android в образе системы. Приложение Android работает с идентификатором пользователя android.uid.system с высокими привилегиями, который содержит системное разрешение, в том числе разрешение на доступ к данным пользователя.

Кроме того, Севьерски нашел несколько подписанных с использованием этих десяти сертификатов платформы Android и предоставил хэши SHA256 для каждого из образцов и сертификатов с цифровой подписью.

В настоящее время нет информации о том, как эти ключи сертификатов были переданы вредоносному ПО для входа в систему, или есть ли у одного или нескольких злоумышленников доступ к ним, или кто-то из уполномоченных инсайдеров подписал APK с ключами OEM. Кроме того, нет информации о том, где были обнаружены эти образцы вредоносного ПО и распространялись ли они в магазине игр или в каких-либо сторонних магазинах.

Это десять пакетов ключей платформы Android.

com.russian.signato.renewis
ком. sledsdffsjkh.Поиск
ком. android.power
ком.управление. пропаганда
com.sec.android.musicplayer.
com.houla.quicken|
com.attd.da
com.arlo.fappx
com.metasploit .стадия
com.vantage .ectronic .cornmuni

если вы выполните поиск в Virustool от Google для всех этих хэшей, вы увидите, что эти сертификаты платформы принадлежат Samsung, LG, MediaTek, Revoview и Szroco.

Вредоносное ПО, которое было подписано с помощью их сертификатов, обнаружило трояны HiddenAdtrojans, информационные фильтры и Metasploit, а также вредоносные программы, которые злоумышленники могут использовать для развертывания дополнительных вредоносных полезных нагрузок на зараженном устройстве.

Гигант поисковых систем Google опубликовал заявление, информирующее всех затронутых поставщиков, и посоветовал им сменить ключи своей платформы, а также выяснить, что послужило основной причиной утечки, и сохранить количество приложений, подписанных с помощью их платформы Android. до минимума, чтобы предотвратить инцидент, происходящий в будущем.

В дополнение к этому Google также настоятельно рекомендует свести к минимуму количество приложений, подписанных с помощью сертификата платформы, поскольку это значительно снизит стоимость ротации ключей платформы, если подобное произойдет в будущем.

Чтобы узнать обо всех подписанных приложениях Android с возможно зараженными сертификатами, перейдите в APK Mirror и найдите их (список приложений, подписанных Samsung и LG). Хотя Google заявил, что все затронутые поставщики были проинформированы о злоупотреблениях сертификатами платформы и приняли корректирующие меры, чтобы снизить воздействие на пользователей. Однако Samsung по-прежнему использует ключи сертификатов платформы, которые просочились в приложения с цифровой подписью.

к счастью, эти ключи предназначены только для обновлений приложений, а не для входа в систему для обновлений ОС, поэтому затронутый поставщик может по-прежнему развертывать безопасные обновления OTA, которые включают новые системные приложения, с помощью которых он может обновлять Google Play Protect с новыми ключами, которые совместимы, хотя это было бы слишком много работы.

Google добавил, что они добавили эти зараженные ключи в Android Build Suite, который сканирует образы системы, а Google Play Protect также сканирует вредоносные программы. Более того, нет никаких доказательств того, что это вредоносное ПО есть или было в Google Play Store, и пользователям рекомендуется убедиться, что они используют последнюю версию Android.

Читайте: вредоносное ПО Dolphin от A37 Group используется для кражи данных и нацеливания на южнокорейскую газету

Похожие записи