Сертификаты Samsung, LG и Mediatek использовали для подписывания вредоносных Android-приложений
Google заявила об использовании сертификатов Samsung, LG и Mediatek для заверения цифровой подписью вредоносных приложений смартфонов на Android. Источник утечки пока не установили.
Для создания цифровых подписей применяли сертификаты платформы, которыми производители заверяют привилегированные приложения, входящие в основной состав системных образов Android. В частности, ими подписывается системное приложение «android», которое выполняется под идентификатором пользователя с наивысшим привилегиями (android.uid.system) и имеет полномочия системного доступа, в том числе к данным пользователей.
Если вредонос заверен тем же сертификатом, то он выполняется с тем же идентификатором пользователя и с теми же уровнем доступа к системе. Для этого не требуется получать подтверждение от пользователя.
Неправомерное использование ключей платформы обнаружил реверс-инженер Google по безопасности Android Лукаш Северски. Он выявил вредоносы, подписанные с использованием 10 сертификатов, и предоставил хэши SHA256 для каждого из образцов и сертификатов с цифровой подписью.
В подписанных подобным образом вредоносах присутствовал код для перехвата информации и установки в систему дополнительных внешних компонентов.
По данным Google, в её каталоге Play Store таких приложений нет. Для дополнительной защиты пользователей в Google Play Protect и в тестовый набор Build Test Suite, применяемый для сканирования системных образов, уже добавили определение вредоносов.
Чтобы заблокировать применение скомпрометированных сертификатов, производителем предложили сменить сертификаты платформы, сгенерировав для них новые открытые и закрытые ключи. Также Google посоветовала им провести внутреннее расследование для выявления источника утечки. Наконец, производителям рекомендовано свести к минимуму число системных приложений, для подписи которых используется сертификат платформы.