A chave de assinatura do aplicativo Android da Samsung vazou e está sendo usada para assinar malware

A chave de assinatura criptográfica de um desenvolvedor é um dos principais pilares da segurança do Android. Sempre que o Android atualiza um aplicativo, a chave de assinatura do aplicativo antigo em seu telefone deve corresponder à chave da atualização que você está instalando. As chaves correspondentes garantem que a atualização realmente veio da empresa que criou originalmente seu aplicativo e não é um esquema de sequestro malicioso. Se a chave de assinatura de um desenvolvedor vazasse, qualquer um poderia distribuir atualizações de aplicativos maliciosos e o Android as instalaria alegremente, pensando que são legítimas.

No Android, o processo de atualização do aplicativo não é apenas para aplicativos baixados de uma loja de aplicativos, você também pode atualizar os aplicativos integrados do sistema criados pelo Google, o fabricante do seu dispositivo e quaisquer outros aplicativos integrados. Enquanto os aplicativos baixados têm um conjunto estrito de permissões e controles, os aplicativos integrados do sistema Android têm acesso a permissões muito mais poderosas e invasivas e não estão sujeitos às limitações usuais da Play Store (é por isso que o Facebook sempre paga para ser um aplicativo integrado ). ). Se um desenvolvedor terceirizado perder sua chave de assinatura, isso seria ruim. Sim, uma Android OEM já perdeu a chave de assinatura do aplicativo do sistema, isso seria muito, muito ruim.

Adivinha o que aconteceu! Łukasz Siewierski, membro da equipe de segurança do Android do Google, tem uma postagem sobre o rastreador de problemas da Android Partner Vulnerability Initiative (AVPI) detalhando chaves de certificado de plataforma vazadas que são usados ​​ativamente para assinar malware. O post é apenas uma lista das chaves, mas rodando cada uma delas APK Mirror ou Google VirusTotal o site colocará nomes em algumas das chaves comprometidas: Samsung, LGY mediatek são os pesos pesados ​​na lista vazada de chaves, juntamente com alguns OEMs menores, como revisão e Szroco, que faz Comprimidos Walmart Onn.

Essas empresas de alguma forma vazaram suas chaves de assinatura para estranhos, e agora você não pode confiar que os aplicativos que afirmam ser dessas empresas são realmente deles. Para piorar as coisas, as “chaves de certificado de plataforma” que eles perderam têm algumas permissões sérias. Para citar a publicação da AVPI:

Um certificado de plataforma é o certificado de assinatura do aplicativo usado para assinar o aplicativo “android” na imagem do sistema. O aplicativo “android” é executado com um ID de usuário altamente privilegiado, android.uid.system, e possui permissões de sistema, incluindo permissões para acessar dados do usuário. Qualquer outro aplicativo assinado com o mesmo certificado pode declarar que deseja executar com o mesmo ID de usuário, dando-lhe o mesmo nível de acesso ao sistema operacional Android.

Editor Técnico Sênior da Esper, Mishaal Rahmancomo sempre, postando ótimas informações sobre isso no Twitter. Como ele explica, fazer um aplicativo usar o mesmo UID do sistema Android não é acesso root, mas é próximo e permite que um aplicativo saia de qualquer sandbox limitado que exista para aplicativos do sistema. Esses aplicativos podem se comunicar diretamente com (ou, no caso de malware, espionar) outros aplicativos em seu telefone. Imagine uma versão mais maligna do Google Play Services e você entenderá.

You May Also Like

About the Author: Gabriela Cerqueira

"Solucionador de problemas do mal. Amante da música. Especialista certificado em cultura pop. Organizador. Guru do álcool. Fanático por café."

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *