Google oglašava alarm: ukradeni Android certifikati od OEM proizvođača

Google je otkrio novu ranjivost koja utječe na OEM proizvođače uređaja. Razlog su javno dostupni certifikati platforme (ključevi) za potpisivanje firmwarea i aplikacija sustava Androida.

Ovi ključevi koriste se za provjeru je li verzija Androida originalna i je li ju kreirao izravno proizvođač, a ne netko izvana. Ali također se mogu koristiti za potpisivanje pojedinačnih aplikacija tako da sustav automatski takve programe smatra sigurnima i pouzdanima. Odnosno dodjeljuje im se identifikator android.uid.system. Stoga napadač može zlonamjernom softveru dodijeliti sva dopuštenja na razini sustava i dobiti puni pristup podacima na uređaju.

Dodatak problemu je činjenica da napadači mogu koristiti certifikate za izmjenu postojećih OEM aplikacija. Primjerice, mogu odglumiti Samsungov program virtualnog asistenta Bixby. I nije bitno je li aplikacija preuzeta s Google Playa, Galaxy Storea ili bilo kojeg drugog izvora.

Google nije javno objavio koji su uređaji ili OEM-ovi pogođeni, ali ih je pronašao  BleepingComputer na VirusTotalu i pokazao da među pogođenima su MediaTek, Samsung, LG  i Reviewu uređaji, a druge nije bilo moguće identificirati. Sada tvrtke čiji su ključevi ukradeni moraju ih hitno zamijeniti novima i  objaviti sigurnosne zakrpe. Sam Google dodao je otkrivanje kompromitiranih ključeva u Android Build Test Suite (BTS) i nadogradio Google Play Protect zaštitu.

Također je pozvao sve proizvođače Android uređaja da minimiziraju korištenje ovih certifikata i primjenjuju se samo na aplikacije koje stvarno trebaju najvišu razinu dopuštenja. Konačno, preporučuje da se certifikati redovito mijenjaju kako bi se smanjila šteta od takvih curenja u budućnosti.