Wygląda na to, że wyciekły klucze do podpisywania appek systemowych Samsunga / LG / paru innych ~vendorów. Google ostrzega

0
62

Wyciek wyciekiem, ale działający w Google Łukasz Sierwierski donosi, że komuś w rzeczywistości udało się podpisać malware kluczem:

Platform certificates used to sign malware.

Przykład? Zerknijcie np. tutaj: https://www.virustotal.com/gui/file/b1f191b1ee463679c7c2fa7db5a224b6759c5474b73a59be3e133a6825b2a284/details

Nie wygląda to zbyt optymistycznie:

Co daje takiemu malware podpisanie certyfikatem platformy? Może on działać na użytkowniku, z którego korzystają appki systemowe, dostarczane z telefonem przez producenta, a dokładniej:

A platform certificate is the application signing certificate used to sign the „android” application on the system image. The „android” application runs with a highly privileged user id – android.uid.system – and holds system permissions, including permissions to access user data. Any other application signed with the same certificate can declare that it wants to run with the same user id, giving it the same level of access to the Android operating system.

Nie jest to wprawdzie root, ale użytkownik system ma zazwyczaj dosyć rozległe uprawnienia:

Co więcej wygląda na to, że klucz cały czas jest używany do podpisywania appek

Są też dobre wieści:

  1. Atakujący nie otrzymuje uprawnień roota (chociaż jego uprawnienia w wyniku skutecznego są wysokie)
  2. Ofiara musi (musiała) zainstalować „lewą” appkę spoza oficjalnego app sklepu (taka appka mogłaby podszywać się pod aktualizację jakiejś appki systemowej).
  3. Google uruchomił dodatkowe procedury tak żeby zminimalizować skuteczność ew. ataków:

OEM partners promptly implemented mitigation measures as soon as we reported the key compromise. End users will be protected by user mitigations implemented by OEM partners. Google has implemented broad detections for the malware in Build Test Suite, which scans system images. Google Play Protect also detects the malware. There is no indication that this malware is or was on the Google Play Store. As always, we advise users to ensure they are running the latest version of Android.

Jakich producentów klucze wyciekły? Zerknijcie na hashe wskazane w oryginalnym wpisie oraz użyjcie Virustotala.

Podziękowania dla InformatykaZakładowego oraz Kuby Wojciechowskiego za konsultacje dotyczące omawianego problemu.

~Michał Sajdak

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj