Инициатива Google по борьбе с уязвимостями партнеров Android, признавая крупную утечку безопасности, выявила новую ключевую уязвимость, которая затронула Android-смартфоны таких крупных брендов, как Samsung и LG, среди прочих. Из-за утечки ключей подписи, используемых OEM-производителями Android, приложения-самозванцы или вредоносное ПО могут маскироваться под «доверенные» приложения. О проблеме ранее сообщалось в мае этого года, после чего несколько компаний, включая Samsung, предприняли действия по контролю уязвимости.
Уязвимость в системе безопасности обнаружил сотрудник Google Лукаш Северский (с помощью Мишаал Рахман Эспера). Сирвирски в своих твитах рассказал, как сертификаты платформы использовались для подписи вредоносных приложений на Android.
Народ, это плохо. Очень очень плохо. Хакеры и/или злоумышленники сделали утечку сертификатов платформ нескольких поставщиков. Они используются для подписи системных приложений в сборках Android, включая само приложение «Android». Эти сертификаты используются для подписи вредоносных приложений для Android! https://t.co/lhqZxuxVR9
— Мишаал Рахман (@MishaalRahman) 1 декабря 2022 г.
В основе проблемы лежит уязвимость механизма доверия к ключам платформы Android, которой могут воспользоваться злоумышленники. По замыслу Android доверяет любому приложению, использующему законный ключ подписи платформы, который используется для подписи основных системных приложений, через общую систему идентификаторов пользователей Android.
Однако у производителей оригинального оборудования Android (OEM) произошла утечка ключей подписи платформы, что позволило создателям вредоносных программ получить разрешения на уровне системы на целевом устройстве. Это сделало бы все пользовательские данные на конкретном устройстве доступными для злоумышленника, как и другое системное приложение от производителя, подписанное тем же сертификатом.
Еще одна тревожная часть уязвимости заключается в том, что она не обязательно требует от пользователя установки нового или «неизвестного» приложения. Утечка ключей платформы также может использоваться для подписи распространенных доверенных приложений, таких как приложение Bixby, на устройстве Samsung. Пользователь, скачавший такое приложение со стороннего сайта, не увидит предупреждения при его установке на свой смартфон, так как сертификат будет соответствовать сертификату в его системе.
Google, однако, прямо не упомянул список устройств или OEM-производителей, которые до сих пор были затронуты критической уязвимостью в своем публичное раскрытие. Тем не менее раскрытие включает в себя список образцов вредоносных файлов. Платформа с тех пор как сообщается подтвердил список затронутых смартфонов, в который входят устройства от Samsung, LG, Mediatek, Xiaomi и Revoview.
Поисковый гигант также предложил пострадавшим компаниям способы смягчить остроту проблемы. Первый шаг включает в себя создание ключей подписи платформы Android, которые были помечены как утечка, и замену их новыми ключами подписи. Компания также призвала всех производителей Android резко свести к минимуму частое использование ключа платформы в приложении для подписи других приложений.
По данным Google, впервые о проблеме было сообщено в мае. С тех пор Samsung и все другие пострадавшие компании уже приняли меры по устранению и минимизации имеющихся уязвимостей. Однако, по данным Android Police, некоторые из уязвимых ключей, перечисленных в раскрытии информации, были недавно удалены. используется для приложений для телефонов Samsung и LG, загруженных в APK Mirror.
«OEM-партнеры незамедлительно приняли меры по смягчению последствий, как только мы сообщили о ключевой компрометации. Конечные пользователи будут защищены с помощью мер по смягчению последствий, реализованных OEM-партнерами», — говорится в заявлении Google для BleepingComputer.
Пользователям Android рекомендуется обновить свои версии прошивки до последних доступных обновлений, чтобы оставаться защищенными от потенциальных недостатков безопасности, таких как раскрытая Google, и проявлять бдительность при загрузке приложений из сторонних источников.
Добавить комментарий