Únik kľúča OEM systému Android znamená, že aktualizácie môžu skrývať závažný škodlivý softvér

Únik kľúča OEM systému Android znamená, že aktualizácie môžu skrývať závažný škodlivý softvér
Elektrolab Pridal  Elektrolab
  151 zobrazení
2
 0
Počítače a bezpečnosť

Kľúčovým aspektom zabezpečenia smartfónu so systémom Android je proces podpisovania aplikácií. Je to v podstate spôsob, ako zaručiť, že všetky aktualizácie aplikácií pochádzajú od pôvodného vývojára, pretože kľúč používaný na podpisovanie aplikácií by mal byť vždy súkromný. Zdá sa, že viaceré certifikáty týchto platforiem od spoločností ako Samsung, MediaTek, LG a Revoview unikli, a čo je ešte horšie, boli použité na podpísanie škodlivého softvéru. Táto skutočnosť bola odhalená prostredníctvom iniciatívy Android Partner Vulnerability Initiative (APVI) a týka sa len aktualizácií aplikácií, nie OTA.

Pri úniku podpisových kľúčov by útočník teoreticky mohol podpísať škodlivú aplikáciu podpisovým kľúčom a distribuovať ju ako "aktualizáciu" aplikácie v cudzom telefóne. Jediné, čo by človek musel urobiť, by bolo načítať aktualizáciu zo stránky tretej strany, čo je pre nadšencov pomerne bežná skúsenosť. V takom prípade by používateľ nevedomky poskytol malvéru prístup na úroveň operačného systému Android, pretože tieto škodlivé aplikácie môžu využívať zdieľané UID systému Android a prepojiť sa so systémovým procesom "android"

"Certifikát platformy je certifikát na podpisovanie aplikácií, ktorý sa používa na podpisovanie aplikácie "android" na obraze systému. Aplikácia "android" beží s vysoko privilegovaným identifikátorom používateľa - android.uid.system - a má systémové oprávnenia vrátane oprávnení na prístup k údajom používateľa. Akákoľvek iná aplikácia podpísaná rovnakým certifikátom môže vyhlásiť, že chce bežať s rovnakým id používateľa, čím získa rovnakú úroveň prístupu k operačnému systému Android," vysvetľuje reportér APVI. Tieto certifikáty sú špecifické pre konkrétneho výrobcu v tom zmysle, že certifikát v zariadení Samsung sa bude líšiť od certifikátu v zariadení LG, aj keď sa použijú na podpísanie "androidovej" aplikácie.

Tieto vzorky malvéru objavil Łukasz Siewierski, reverzný inžinier spoločnosti Google. Siewierski zdieľal hashe SHA256 každej zo vzoriek malvéru a ich podpisové certifikáty a my sme si mohli tieto vzorky pozrieť na stránke VirusTotal. Nie je jasné, kde sa tieto vzorky našli a či boli predtým distribuované v obchode Google Play, na stránkach na zdieľanie súborov APK, ako je APKMirror, alebo inde. Zoznam názvov balíkov škodlivého softvéru podpísaných certifikátmi týchto platforiem je uvedený nižšie.

Aktualizácia: Spoločnosť Google tvrdí, že tento malvér nebol v obchode Google Play zistený.

  • com.vantage.ectronic.cornmuni
  • com.russian.signato.renewis
  • com.sledsdffsjkh.Search
  • com.android.power
  • com.management.propaganda
  • com.sec.android.musicplayer
  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage

V správe sa uvádza, že "všetky dotknuté strany boli informované o zisteniach a prijali nápravné opatrenia na minimalizáciu vplyvu na používateľov". Zdá sa však, že minimálne v prípade spoločnosti Samsung sa tieto certifikáty stále používajú. Vyhľadávanie na APKMirror pre jeho uniknutý certifikát ukazuje, že aktualizácie z dnešného dňa sú dokonca distribuované s týmito uniknutými podpisovými kľúčmi.

Znepokojujúce je, že jedna zo vzoriek malvéru, ktorá bola podpísaná certifikátom spoločnosti Samsung, bola prvýkrát predložená v roku 2016. Nie je jasné, či sa teda certifikáty spoločnosti Samsung dostali do rúk škodcov už pred šiestimi rokmi. Ešte menej je v tejto chvíli jasné, ako sa tieto certifikáty dostali do voľného obehu a či už v dôsledku toho došlo k nejakým škodám. Ľudia neustále načítavajú aktualizácie aplikácií a spoliehajú sa na systém podpisovania certifikátov, ktorý zabezpečuje, že tieto aktualizácie aplikácií sú legitímne.

Pokiaľ ide o to, čo môžu spoločnosti urobiť, najlepším riešením je rotácia kľúčov. Podpisová schéma APK systému Android v3 natívne podporuje rotáciu kľúčov a vývojári môžu prejsť z podpisovej schémy v2 na v3.

Navrhované opatrenie, ktoré uviedol spravodajca na APVI, znie: "Všetky dotknuté strany by mali rotovať certifikát platformy nahradením novým súborom verejných a súkromných kľúčov. Okrem toho by mali vykonať interné vyšetrovanie s cieľom nájsť hlavnú príčinu problému a prijať opatrenia na zabránenie výskytu incidentu v budúcnosti."

"Dôrazne tiež odporúčame minimalizovať počet aplikácií podpísaných certifikátom platformy, pretože to výrazne zníži náklady na rotáciu kľúčov platformy, ak by sa podobný incident vyskytol v budúcnosti," uzatvára.

Keď sme oslovili spoločnosť Samsung, dostali sme od jej hovorcu nasledujúcu odpoveď.

Spoločnosť Samsung berie zabezpečenie zariadení Galaxy vážne. Od roku 2016 sme po upozornení na tento problém vydali bezpečnostné záplaty a nie sú známe žiadne bezpečnostné incidenty týkajúce sa tejto potenciálnej zraniteľnosti. Používateľom vždy odporúčame, aby svoje zariadenia aktualizovali pomocou najnovších softvérových aktualizácií.

Uvedená odpoveď zrejme potvrdzuje, že spoločnosť o tomto uniknutom certifikáte vie od roku 2016, hoci tvrdí, že v súvislosti s touto zraniteľnosťou neboli známe žiadne bezpečnostné incidenty. Nie je však jasné, čo ďalšie urobila na odstránenie tejto zraniteľnosti, a vzhľadom na to, že škodlivý softvér bol prvýkrát odoslaný do VirusTotal v roku 2016, zdá sa, že je určite niekde na slobode.

Oslovili sme spoločnosti MediaTek a Google so žiadosťou o vyjadrenie.

Partneri OEM okamžite po nahlásení kompromitácie kľúča zaviedli opatrenia na zmiernenie následkov. Koncoví používatelia budú chránení zmierňujúcimi opatreniami pre používateľov, ktoré implementovali partneri OEM. Spoločnosť Google implementovala rozsiahle detekcie škodlivého softvéru do balíka Build Test Suite, ktorý skenuje obrazy systému. Služba Google Play Protect tiež deteguje škodlivý softvér. Nič nenasvedčuje tomu, že by tento malvér bol alebo bol v obchode Google Play. Používateľom ako vždy odporúčame, aby sa uistili, že používajú najnovšiu verziu systému Android.

Zdroj : XDA-Developers

Informácia : Pokiaľ sa vám článok páčil, informácie v ňom boli pre vás užitočné a máte záujem o viac takýchto článkov, podporte drobnou sumou jeho autora. Ďakujeme
Máte aj vy zaujímavú konštrukciu, alebo článok?

Máte aj vy zaujímavú konštrukciu, alebo článok a chceli by ste sa o to podeliť s viac ako 250.000 čitateľmi? Tak neváhajte a dajte nám vedieť, radi ju uverejníme a to vrátane obrazových a video príloh. Rovnako uvítame aj autorov teoretických článkov, či autorov zaujímavých videí z oblasti elektroniky / elektrotechniky.

Kontaktujte nás!


Páčil sa Vám článok? Pridajte k nemu hodnotenie, alebo podporte jeho autora.
 

       

Komentáre k článku

Zatiaľ nebol pridaný žiadny komentár k článku. Pridáte prvý? Berte prosím na vedomie, že za obsah komentára je zodpovedný užívateľ, nie prevádzkovateľ týchto stránok.
Pre komentovanie sa musíte prihlásiť.

Vaša reklama na tomto mieste

Vyhľadajte niečo na našom blogu

PCBWay Promo

ourpcb Promo

PCBWay Promo

ourpcb Promo

PCBWay Promo

ourpcb Promo


Webwiki Button