Connect with us

Новости

Сертификаты производителей Android-устройств использовались во вредоносном ПО

Такие привилегии дают доступ к конфиденциальным разрешениям, которые обычно не предоставляются приложениям.

Avatar photo

Опубликовано

/

     
     

Несколько сертификатов, используемых OEM-поставщиками Android-устройств для подписи основных системных приложений, использовались злоумышленниками для подписи  вредоносного ПО.

Производители Android-устройств используют платформенные сертификаты для подписи прошивок устройств и основных системных приложений. Если стороннее приложение будет подписано таким сертификатом, то ему будет присвоен высокопривилегированный идентификатор пользователя android.uid.system, такое приложение также получит доступ к устройству на уровне системы. Такие привилегии дают доступ к конфиденциальным разрешениям, которые обычно не предоставляются приложениям — это управление текущими вызовами, установка или удаление пакетов, сбор информации об устройстве и другие крайне важные действия с доступом к конфиденциальным пользовательским данным.

Как сообщается в уже опубликованном отчете системы отслеживания проблем Android Partner Vulnerability Initiative (AVPI), это неправомерное использование ключей платформы было обнаружено Лукашем Северски, реверс-инженером команды Google по безопасности Android.

На данный момент нет информации о том, что привело к злоупотреблению этими сертификатами для подписи вредоносного ПО — украли ли их один или несколько злоумышленников или инсайдер с авторизованным доступом подписал APK ключами вендора. Также нет информации о том, где были найдены эти образцы вредоносного ПО — были ли они обнаружены в магазине Google Play, распространялись ли они через сторонние магазины или в результате вредоносных атак.

Поиск этих хэшей в VirusTotal позволил обнаружить, что некоторые из утекших платформенных сертификатов принадлежат Samsung Electronics, LG Electronics, Revoview и Mediatek. По другим сертификатам на данный момент не удалось определить, кому они принадлежали.

Google проинформировал всех затронутых поставщиков о злоупотреблении и посоветовал им сменить сертификаты своих платформ, расследовать утечку, чтобы выяснить, как это произошло, и свести к минимуму количество приложений, подписанных их сертификатами, чтобы предотвратить будущие инциденты. Кроме того, Google добавил средства обнаружения скомпрометированных ключей в Android Build Test Suite (BTS) и средства обнаружения вредоносных программ в Google Play Protect.

Если вы нашли опечатку - выделите ее и нажмите Ctrl + Enter! Для связи с нами вы можете использовать info@apptractor.ru.
Advertisement
Telegram

Популярное

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: