Google ostrzega, że skradzione klucze certyfikatów Androida zostały wykorzystane do podpisania złośliwego oprogramowania

Skompromitowane klucze certyfikatów platformy Android od producentów urządzeń, w tym Samsunga, LG i Mediatek, są wykorzystywane do podpisywania złośliwego oprogramowania i instalowania programów szpiegujących.

Badacz Łukasz Siewierski znalazł i zgłosił błąd w zabezpieczeniach, który pozwala złośliwym aplikacjom podpisanym jednym ze skompromitowanych certyfikatów uzyskać ten sam poziom uprawnień co system operacyjny Android, czyli nieograniczony dostęp do urządzenia ofiary.

Cc @linuxct

— Francesco "Dil3mm4" Manzo (@Dil3mm4_ita) December 1, 2022

Jak wyjaśnia alert bezpieczeństwa Android Partner Vulnerability Initiative (AVPI):

„Certyfikat platformy to certyfikat podpisywania aplikacji używany do podpisywania aplikacji 'android’ w systemie. Aplikacja 'android’ działa z wysoce uprzywilejowanym identyfikatorem użytkownika — android.uid.system — i posiada uprawnienia systemowe, w tym uprawnienia do dostępu do danych użytkownika. Każda inna aplikacja podpisana tym samym certyfikatem może zadeklarować, że chce uruchomić się z tym samym id użytkownika, co daje jej ten sam poziom dostępu do systemu operacyjnego Android.”

Ponadto w ostrzeżeniu Google wymieniło 10 próbek złośliwego oprogramowania i związane z nimi hashe SHA256, a także zaleciło wszystkim dotkniętym problemem sprzedawcom smartfonów rotację certyfikatów ich platform.

„Zdecydowanie zalecamy również zminimalizowanie liczby aplikacji podpisanych certyfikatem platformy, ponieważ znacznie obniży to koszty rotacji kluczy platformy, jeśli podobny incydent wystąpi w przyszłości” – napisało AVPI.

Analiza różnych próbek złośliwego oprogramowania przez Google VirusTotal pokazuje, że dostawcy zabezpieczeń innych firm oznaczyli próbki jako kradnące informacje, downloadery, backdoory, HiddenAds malware, Metasploit, dropper malware i inne trojany.

„Partnerzy OEM niezwłocznie wdrożyli środki zaradcze, gdy tylko poinformowaliśmy o kompromitacji kluczy” – powiedział rzecznik Google. „Użytkownicy końcowi będą chronieni przez zabezpieczenia użytkowników wdrożone przez partnerów OEM”.

Google’s Build Test Suite, który skanuje obrazy systemu, wraz z Google Play Protect może wykryć złośliwe oprogramowanie, według rzecznika Google i je usunąć.

„Nie ma żadnych przesłanek, że to złośliwe oprogramowanie jest lub było w Google Play Store” – dodał rzecznik. „Jak zawsze, radzimy użytkownikom, aby upewnić się, że uruchamiają najnowszą wersję systemu Android”.

Na dzień 1 grudnia, jednak niektóre z wyciekłych certyfikatów były nadal używane do podpisywania aplikacji, według badacza Android security Mishaal Rahman. Niestety Google nie odniosło się do tego komentarza.