Утечка ключа Samsung для подписи приложений Android, используемого для подписи вредоносных программ

Криптографический ключ подписи разработчика является одним из основных элементов безопасности Android. Каждый раз, когда Android обновляет приложение, ключ подписи старого приложения на вашем телефоне должен совпадать с ключом обновления, который вы устанавливаете. Совпадающие ключи гарантируют, что обновление действительно исходит от компании, которая изначально разработала ваше приложение, а не является каким-то злонамеренным планом поглощения. В случае утечки ключа подписи разработчика кто угодно может распространять вредоносные обновления приложений, и Android с радостью установит их, считая их законными.

На Android процесс обновления приложений предназначен не только для приложений, загруженных из магазина приложений, вы также можете обновлять встроенные системные приложения, созданные Google, производителем вашего устройства, и любые другие связанные приложения. В то время как загруженные приложения имеют строгий набор разрешений и элементов управления, встроенные системные приложения Android имеют доступ к гораздо более мощным и инвазивным разрешениям и не подпадают под обычные ограничения Play Store (именно поэтому Facebook всегда платит за связанное приложение). Если сторонний разработчик когда-либо потеряет свой ключ подписи, это будет плохо. Если OEM-производитель Android когда-нибудь потеряет ключ подписи своего системного приложения, это будет очень и очень плохо.

Угадай, что случилось! Лукаш Северский, член команды Google по безопасности Android, опубликовал сообщение в системе отслеживания проблем Android Partner Vulnerability Initiative (AVPI) с подробным описанием утечек ключей сертификатов платформы , которые активно используются для подписи вредоносных программ. Сообщение представляет собой просто список ключей, но запуск каждого из них через APKMirror или сайт Google VirusTotal приведет к названию некоторых скомпрометированных ключей: Samsung , LG и Mediatek являются крупными игроками в списке утекших ключей, наряду с некоторыми более мелкими OEM-производителями, такими как Review и Szroco, которые производят планшеты Onn для Walmart.

Эти компании каким-то образом слили свои ключи подписи посторонним, и теперь вы не можете доверять тому, что приложения, которые утверждают, что они от этих компаний, действительно от них. Что еще хуже, «ключи сертификатов платформы», которые они потеряли, имеют серьезные разрешения. Чтобы процитировать сообщение AVPI:

Сертификат платформы — это сертификат подписи приложения, используемый для подписи приложения Android в образе системы. Приложение для Android работает с идентификатором пользователя с высокими привилегиями, android.uid.system, и содержит системные разрешения, включая разрешения на доступ к данным пользователя. Любое другое приложение, подписанное тем же сертификатом, может объявить, что оно хочет работать с тем же идентификатором пользователя, предоставляя ему такой же уровень доступа к операционной системе Android.