Сертификаты Samsung, LG и Mediatek использовали для подписывания вредоносных Android-приложений

Google заявила об использовании сертификатов Samsung, LG и Mediatek для заверения цифровой подписью вредоносных приложений смартфонов на Android. Источник утечки пока не установили.

482c0f953785ba205808acfd6c614695.png

Для создания цифровых подписей применяли сертификаты платформы, которыми производители заверяют привилегированные приложения, входящие в основной состав системных образов Android. В частности, ими подписывается системное приложение «android», которое выполняется под идентификатором пользователя с наивысшим привилегиями (android.uid.system) и имеет полномочия системного доступа, в том числе к данным пользователей. 

Если вредонос заверен тем же сертификатом, то он выполняется с тем же идентификатором пользователя и с теми же уровнем доступа к системе. Для этого не требуется получать подтверждение от пользователя.

Неправомерное использование ключей платформы обнаружил реверс-инженер Google по безопасности Android Лукаш Северски. Он выявил вредоносы, подписанные с использованием 10 сертификатов, и предоставил хэши SHA256 для каждого из образцов и сертификатов с цифровой подписью. 

В подписанных подобным образом вредоносах присутствовал код для перехвата информации и установки в систему дополнительных внешних компонентов. 

По данным Google, в её каталоге Play Store таких приложений нет. Для дополнительной защиты пользователей в Google Play Protect и в тестовый набор Build Test Suite, применяемый для сканирования системных образов, уже добавили определение вредоносов.

Чтобы заблокировать применение скомпрометированных сертификатов, производителем предложили сменить сертификаты платформы, сгенерировав для них новые открытые и закрытые ключи. Также Google посоветовала им провести внутреннее расследование для выявления источника утечки. Наконец, производителям рекомендовано свести к минимуму число системных приложений, для подписи которых используется сертификат платформы.

© Habrahabr.ru