Clave de Samsung filtrada para la firma de aplicaciones de Android utilizada para firmar malware

La clave criptográfica de firma del desarrollador es uno de los principales pilares de seguridad de Android. Cada vez que Android actualiza una aplicación, la clave de firma de la aplicación anterior en su teléfono debe coincidir con la clave de actualización que está instalando. Las claves coincidentes garantizan que la actualización realmente provenga de la empresa que creó originalmente su aplicación y no sea un plan de adquisición malicioso. Si se filtra la clave de firma del desarrollador, cualquiera puede distribuir actualizaciones de aplicaciones maliciosas, y Android las instalará felizmente, pensando que son legítimas.

En Android, el proceso de actualización de la aplicación no es solo para las aplicaciones descargadas de la tienda de aplicaciones, también puede actualizar las aplicaciones integradas del sistema creadas por Google, el fabricante de su dispositivo y cualquier otra aplicación relacionada. Si bien las aplicaciones descargadas tienen un conjunto estricto de permisos y controles, las aplicaciones integradas del sistema de Android tienen acceso a permisos mucho más potentes e invasivos y no están sujetas a las restricciones habituales de Play Store (razón por la cual Facebook siempre paga por una aplicación integrada). Si un desarrollador externo alguna vez pierde su clave de firma, sería malo. Si un OEM de Android alguna vez pierde la clave de firma de la aplicación del sistema, eso sería muy, muy malo.

¡Adivina qué pasó! Lukasz Severski, miembro del equipo de seguridad de Android de Google, publicó una publicación en el rastreador de problemas de la Iniciativa de vulnerabilidad de socios de Android (AVPI) que detalla las filtraciones de claves de certificado de plataforma que se utilizan mucho para firmar malware. La publicación es solo una lista de claves, pero ejecutar cada una a través de APKMirror o el sitio VirusTotal de Google dará como resultado el nombre de algunas claves comprometidas: Samsung , LG y Mediatek son jugadores importantes en la lista de claves filtradas, junto con algunos OEM más pequeños como Review y Szroco, que fabrican tabletas Onn para Walmart.

Estas empresas de alguna manera filtraron sus claves de firma a personas ajenas, y ahora no puede confiar en que las aplicaciones que afirman ser de estas empresas son realmente de ellas. Para empeorar las cosas, las «claves de certificado de plataforma» que perdieron tienen permisos serios. Para citar la publicación de AVPI:

Un certificado de plataforma es un certificado de firma de aplicación que se utiliza para firmar una aplicación de Android en una imagen del sistema. La aplicación de Android se ejecuta con una identificación de usuario altamente privilegiada, android.uid.system, y contiene permisos del sistema, incluidos los permisos para acceder a los datos del usuario. Cualquier otra aplicación firmada con el mismo certificado puede anunciar que quiere trabajar con el mismo ID de usuario, dándole el mismo nivel de acceso al sistema operativo Android.