Lækket Samsung-nøgle til Android App Signing Bruges til at signere malware

Lækket Samsung-nøgle til Android App Signing Bruges til at signere malware

Udvikleren, der signerer kryptografisk nøgle, er en af ​​de vigtigste sikkerhedssøjler i Android. Hver gang Android opdaterer en app, skal den gamle apps signeringsnøgle på din telefon matche den opdateringsnøgle, du installerer. Matchende nøgler sikrer, at opdateringen virkelig kommer fra det firma, der oprindeligt byggede din app, og at det ikke er et ondsindet overtagelsesplan. Hvis udviklerens signeringsnøgle er lækket, kan enhver distribuere ondsindede appopdateringer, og Android installerer dem med glæde og tror, ​​at de er legitime.

På Android er appopdateringsprocessen ikke kun for apps, der er downloadet fra app store, du kan også opdatere indbyggede systemapps, der er oprettet af Google, din enheds producent og andre relaterede apps. Mens downloadede apps har et strengt sæt tilladelser og kontroller, har Androids indbyggede systemapps adgang til meget mere kraftfulde og invasive tilladelser og er ikke underlagt de sædvanlige Play Butik-begrænsninger (hvilket er grunden til, at Facebook altid betaler for en medfølgende app). Hvis en tredjepartsudvikler nogensinde mister deres signeringsnøgle, ville det være dårligt. Hvis en Android OEM nogensinde mister deres systemapp-signeringsnøgle, ville det være meget, meget slemt.

Gæt hvad der skete! Lukasz Severski, et medlem af Googles Android-sikkerhedsteam, udgav et indlæg om Android Partner Vulnerability Initiative (AVPI) issue tracker, der beskriver lækager af platformscertifikatnøgler , der er flittigt brugt til at signere malware. Indlægget er kun en liste over nøgler, men at køre hver enkelt gennem APKMirror eller Googles VirusTotal- side vil resultere i at navngive nogle kompromitterede nøgler: Samsung , LG og Mediatek er store spillere på listen over lækkede nøgler sammen med nogle mindre OEM’er som f.eks. Review og Szroco, som laver Onn-tablets til Walmart.

Disse virksomheder lækkede på en eller anden måde deres signeringsnøgler til udenforstående, og nu kan du ikke stole på, at applikationer, der hævder at være fra disse virksomheder, virkelig er fra dem. For at gøre tingene værre har de “platformcertifikatnøgler”, de mistede, seriøse tilladelser. For at citere AVPI-indlægget:

Et platformscertifikat er et applikationssigneringscertifikat, der bruges til at signere en Android-applikation i et systembillede. Android-appen kører med et yderst privilegeret bruger-id, android.uid.system, og indeholder systemtilladelser, herunder tilladelser til at få adgang til brugerdata. Enhver anden applikation, der er signeret med det samme certifikat, kan meddele, at den ønsker at arbejde med det samme bruger-id, hvilket giver det samme niveau af adgang til Android-operativsystemet.

Uncategorized
admin

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

Rapport: Apples kommende virtuelle og augmented reality-operativsystem får et nyt navn
Valget af en OLED-skærm er patetisk. 2023 kan ændre det
Sådan repareres Samsung Galaxy S22/Plus/Ultra-skærmoptagelsesproblemer

Sådan repareres Samsung Galaxy S22/Plus/Ultra-skærmoptagelsesproblemer

  • 08 jun 2023
  • 84
Sådan går du ind i gendannelsestilstand på en Samsung Galaxy S20

Sådan går du ind i gendannelsestilstand på en Samsung Galaxy S20

  • 02 jun 2023
  • 71
Samsung Galaxy A54 vs iPhone SE (2022): Hvilken smartphone er bedre?

Samsung Galaxy A54 vs iPhone SE (2022): Hvilken smartphone er bedre?

  • 27 maj 2023
  • 106