Несколько сертификатов, используемых OEM-поставщиками Android-устройств для подписи основных системных приложений, использовались злоумышленниками для подписи вредоносного ПО.
Производители Android-устройств используют платформенные сертификаты для подписи прошивок устройств и основных системных приложений. Если стороннее приложение будет подписано таким сертификатом, то ему будет присвоен высокопривилегированный идентификатор пользователя android.uid.system, такое приложение также получит доступ к устройству на уровне системы. Такие привилегии дают доступ к конфиденциальным разрешениям, которые обычно не предоставляются приложениям — это управление текущими вызовами, установка или удаление пакетов, сбор информации об устройстве и другие крайне важные действия с доступом к конфиденциальным пользовательским данным.
Как сообщается в уже опубликованном отчете системы отслеживания проблем Android Partner Vulnerability Initiative (AVPI), это неправомерное использование ключей платформы было обнаружено Лукашем Северски, реверс-инженером команды Google по безопасности Android.
На данный момент нет информации о том, что привело к злоупотреблению этими сертификатами для подписи вредоносного ПО — украли ли их один или несколько злоумышленников или инсайдер с авторизованным доступом подписал APK ключами вендора. Также нет информации о том, где были найдены эти образцы вредоносного ПО — были ли они обнаружены в магазине Google Play, распространялись ли они через сторонние магазины или в результате вредоносных атак.
Поиск этих хэшей в VirusTotal позволил обнаружить, что некоторые из утекших платформенных сертификатов принадлежат Samsung Electronics, LG Electronics, Revoview и Mediatek. По другим сертификатам на данный момент не удалось определить, кому они принадлежали.
Google проинформировал всех затронутых поставщиков о злоупотреблении и посоветовал им сменить сертификаты своих платформ, расследовать утечку, чтобы выяснить, как это произошло, и свести к минимуму количество приложений, подписанных их сертификатами, чтобы предотвратить будущие инциденты. Кроме того, Google добавил средства обнаружения скомпрометированных ключей в Android Build Test Suite (BTS) и средства обнаружения вредоносных программ в Google Play Protect.