Android智能手机安全性的一个关键方面是应用程序签名过程。它本质上是一种保证任何应用程序更新都来自原始开发人员的方法,因为用于对应用程序进行签名的密钥应始终保持私密。来自三星,联发科,LG和Revoview等公司的许多平台证书似乎已经泄露,更糟糕的是,它们被用来签署恶意软件。这是通过 Android 合作伙伴漏洞倡议 (APVI) 披露的,仅适用于应用更新,不适用于 OTA。
理论上,当签名密钥泄漏时,攻击者可以使用签名密钥对恶意应用程序进行签名,并将其作为“更新”分发到某人手机上的应用程序。一个人需要做的就是从第三方网站旁加载更新,对于爱好者来说,这是一种相当普遍的体验。在这种情况下,用户将在不知不觉中向Android操作系统提供恶意软件级别的访问权限,因为这些恶意应用程序可以利用Android的共享UID并与“android”系统进程接口。
“平台证书是用于对系统映像上的”android“应用程序进行签名的应用程序签名证书。“android”应用程序使用高特权用户 ID android.uid.system 运行,并拥有系统权限,包括访问用户数据的权限。使用相同证书签名的任何其他应用程序都可以声明它希望使用相同的用户ID运行,从而为其提供对Android操作系统的相同级别的访问权限,“APVI的记者解释说。这些证书是特定于供应商的,因为三星设备上的证书将与LG设备上的证书不同,即使它们用于对“android”应用程序进行签名。
这些恶意软件样本是由谷歌的逆向工程师Łukasz Siewierski发现的。Siewierski共享了每个恶意软件样本及其签名证书的SHA256哈希值,我们能够在VirusTotal上查看这些样本。目前尚不清楚这些样本是从哪里找到的,以及它们以前是否在Google Play商店,APK共享网站(如APKMirror)或其他地方分发。使用这些平台证书签名的恶意软件的软件包名称列表如下。更新:谷歌表示在谷歌Play商店中未检测到此恶意软件。
在报告中,它指出“所有受影响的各方都被告知调查结果,并已采取补救措施以尽量减少对用户的影响。但是,至少在三星的情况下,这些证书似乎仍在使用中。在APKMirror上搜索其泄露的证书显示,即使在今天,更新也使用这些泄露的签名密钥分发。
令人担忧的是,使用三星证书签名的恶意软件样本之一是在2016年首次提交的。目前还不清楚三星的证书是否因此落入恶意手中六年。目前更不清楚的是这些证书是如何在野外传播的,以及是否已经因此造成了任何损害。人们始终旁加载应用更新,并依靠证书签名系统来确保这些应用更新是合法的。
至于公司能做什么,最好的办法是关键轮换。Android 的 APK 签名方案 v3 原生支持密钥轮换,开发者可以从签名方案 v2 升级到 v3。
标签:
版权声明:本文由用户上传,如有侵权请联系删除!