Из-за крупного нарушения безопасности устройства некоторых крупнейших в мире производителей смартфонов Android уязвимы для вредоносных приложений, которые операционные системы считают заслуживающими доверия.
Об этом сообщил Лукаш Северски из Google Android Partner Vulnerability Initiative (APVI), который публично раскрыл уязвимость в ноябре 2022 года.
Как сообщает 9to5Google (открывается в новой вкладке), раскрытие Севьерски не раскрывает напрямую, к каким крупным производителям Android произошла утечка ключей подписи их платформы, но сканирование некоторых зараженных файлов на вирусы подтвердило, что Samsung, LG, Xiaomi, Mediatech, szroco, и устройства Revoview затронуты, но это неполный и развивающийся список.
Злоупотребление доверенным приложением
Цитируя Мишаала Рахмана, технического писателя облачной платформы Esper: «Это плохо. Очень очень плохо".
Уязвимость позволяет хакерам создавать вредоносные приложения с привилегиями системного уровня и даже встраивать вредоносный код в надежные, невредоносные, уже существующие приложения для Android. И это из-за ключей подписи платформы.
Ключ подписи платформы — это то, что конечная точка использует для проверки легитимности работающей операционной системы. Они используются для создания приложений, подписанных платформой, которые производитель устройств подтвердил как безопасные и не содержащие вредоносных программ.
Если бы хакеру удалось получить эти ключи, он мог бы использовать систему Android «общий идентификатор пользователя» для создания вредоносного приложения с полным доступом к системе.
Что еще хуже, таким образом можно злоупотреблять не только недавно созданными приложениями. Уже установленные приложения по-прежнему необходимо регулярно подписывать, а это означает, что злоумышленники могут мгновенно загрузить вредоносное ПО в доверенные приложения.
После отставки для заражения устройства было достаточно простого обновления приложения, которое Android впоследствии не сочтет проблематичным.
Google впервые обнаружил проблему в мае 2022 года, и компания заявляет, что все затронутые производители предприняли «корректирующие действия для проверки воздействия на пользователей», хотя никаких дополнительных подробностей не было объявлено.
Неясно, сработали ли эти меры, поскольку 9to5Google также утверждал, что некоторые из уязвимых ключей использовались в приложениях Samsung для Android в последние дни на момент написания.
Тем не менее, Google заявил, что телефоны Android защищены несколькими способами, в том числе с помощью Google Play Protect, средств защиты OEM и т. д. Приложения, находящиеся в Play Store, также явно безопасны.
«Партнеры OEM быстро внедрили меры по смягчению последствий, как только мы сообщили о ключевой компрометации. Конечные пользователи будут защищены с помощью средств защиты пользователей, реализованных OEM-партнерами», — сказал трейдер Word of Society.
«Google реализовал обширные средства обнаружения вредоносного ПО в Build Test Suite, который сканирует образы системы. Google Play Protect также обнаруживает вредоносные программы. Нет никаких указаний на то, что это вредоносное ПО есть или было в магазине Google Play. Как всегда, мы рекомендуем пользователям убедиться, что они используют последнюю версию Android.
