Android OEM cihaz satıcıları tarafından dijital olarak imzalamak için kullanılan çoklu platform sertifikaları, kötü amaçlı yazılım içeren Android uygulamalarını imzalamak için de kullanılmıştır.
OEM Android cihaz üreticileri, Android işletim sistemini ve ilgili uygulamaları içeren cihazların temel ROM görüntülerini imzalamak için platform sertifikaları veya platform anahtarları kullanır.
Uygulamalar, hatta kötü amaçlı olanlar bile aynı platform sertifikasıyla imzalanmış ve son derece ayrıcalıklı 'Android.uid.System' kullanıcı kimliği atanmışsa, bu uygulamalar da Android cihazına sistem düzeyinde erişim kazanır.
Bu ayrıcalıklar, sürekli çağrıları yönetmek, paketleri yüklemek veya silmek, cihaz hakkında bilgi toplamak ve diğer son derece hassas eylemler gibi uygulamalara normal olarak verilmeyen hassas izinlere erişim sağlar.
Android Ortak Güvenlik Açığı Girişimi (AVPI) sayı izleyicisi hakkında bir halka açık raporda paylaşıldığı gibi, Platform Anahtarlarının bu küfürlü kullanımı, Google'ın Android güvenlik ekibinde ters mühendis olan łukasz Siewierski tarafından keşfedildi.
"Platform Sertifikası, sistem resminde" Android "uygulamasını imzalamak için kullanılan uygulama imzalama sertifikasıdır. kullanıcı verileri, "diye açıklıyor Google Muhabir.
"Aynı sertifikada imzalanan diğer herhangi bir uygulama, aynı kullanıcı kimliğiyle çalışmak istediğini ve Android işletim sistemine aynı erişim seviyesini verdiğini beyan edebilir."
Siewierski, bu Ten Android platform sertifikalarını kullanarak imzalanan birden fazla kötü amaçlı yazılım örneği gördü ve numunelerin her biri için SHA256 karma ve dijital olarak imzalanmış sertifikalar sağladı.
Şu anda, bu sertifikaların kötü amaçlı yazılım imzalamasına neden olan şey hakkında bilgi yok - eğer bir veya daha fazla tehdit aktörleri onları çaldıysa veya yetkili erişime sahip bir içeriden APK'ları satıcı anahtarlarıyla imzaladıysa.
Ayrıca, bu kötü amaçlı yazılım örneklerinin nerede bulunduğuna dair hiçbir bilgi yoktur-Google'ın Play Store'da bulunursa veya üçüncü taraf mağazalar aracılığıyla veya kötü niyetli saldırılarda dağıtılmışsa.
Platform anahtarlarıyla imzalanan listelenen on kötü amaçlı yazılım örneği için paket adları aşağıda listelenmiştir:
Bu karmalar için Virustotal'da yapılan bir arama, BleepingComputer'ın istismar edilen platform sertifikalarının bazılarının Samsung Electronics, LG Electronics, Revoview ve Mediatek'e ait olduğunu keşfetmesine izin verdi.
Diğer sertifikalar için, şu anda kime ait olduklarını belirlemek mümkün değildi.
Sertifikalarıyla imzalanan kötü amaçlı yazılımlar, Hiddenad Truva Atları, Bilgi Stealers, Metasploit ve Tehdit Oyuncularının Meyveden çıkarılan cihazlarda ek kötü amaçlı yükler sunmak için kullanabileceği kötü amaçlı yazılım damlaları olarak algılananlar içerir.
Google, etkilenen tüm satıcıları kötüye kullanma konusunda bilgilendirdi ve platform sertifikalarını döndürmelerini, nasıl olduğunu öğrenmek için sızıntıyı araştırmalarını ve gelecekteki olayları önlemek için Android platform sertifikalarıyla imzalanan uygulama sayısını en azından tutmalarını söyledi.
"Etkilenen tüm taraflar, platform sertifikasını yeni bir kamu ve özel anahtar seti ile değiştirerek döndürmelidir. Ayrıca, sorunun temel nedenini bulmak ve olayın gelecekte gerçekleşmesini önlemek için adımlar atmalıdır. , "Google muhabiri ekledi.
Diyerek şöyle devam etti: "Gelecekte benzer bir olay meydana gelmesi durumunda dönen platform anahtarlarının maliyetini önemli ölçüde azaltacaktır, çünkü platform sertifikasıyla imzalanan uygulama sayısını en aza indirmenizi şiddetle tavsiye ediyoruz."
Potansiyel olarak ödün verilen bu sertifikalarla imzalanan tüm Android uygulamalarına genel bir bakış elde etmenin kolay bir yolu, bunları aramak için APKMirror'u kullanmaktır (Samsung'un sertifikası ve LG ile imzalanmış uygulamalardan biri ile imzalanan uygulamaların bir listesi).
Bununla birlikte, sonuçlara dayanarak, Google "etkilenen tüm tarafların bulgular hakkında bilgilendirildiğini ve kullanıcı etkisini en aza indirmek için iyileştirme önlemleri aldıklarını" söylemesine rağmen, en azından Samsung's'ta Google'ın önerilerini takip etmedi gibi görünüyor. Durum, sızdırılan platform sertifikaları hala uygulamaları dijital olarak imzalamak için kullanılıyor.
Google'a bu tehlikeye atılan anahtarlar hakkında ulaştığımızda Google, BleepingComputer'a, Android Build Test Suite (BTS) ve Google Play Protect'e kötü amaçlı yazılım algılamalarına tehlikeye atılan anahtarlar için algılamalar eklediklerini söyledi.
Google, BleepingComputer'a yaptığı açıklamada, "OEM Partners, Anahtar Uzlaşmayı Bildirir bildirmez, azaltma önlemlerini derhal uyguladı. Son kullanıcılar, OEM ortakları tarafından uygulanan kullanıcı azaltmalarıyla korunacaklar." Dedi.
"Google, sistem görüntülerini tarayan Build test paketi için kötü amaçlı yazılım için geniş algılamalar uyguladı. Google Play Protect de kötü amaçlı yazılımları algılar."
"Bu kötü amaçlı yazılımın Google Play Store'da olduğuna veya olduğuna dair bir gösterge yok. Her zaman olduğu gibi, kullanıcılara Android'in en son sürümünü çalıştırdıklarından emin olmalarını tavsiye ediyoruz."
Google Play'de 2 milyon yüklemeli Android kötü amaçlı yazılım uygulamaları
Android kötü amaçlı yazılım, Facebook hesaplarını çalmak için 300.000 cihaza bulaştı
Android Dosya Yöneticisi Uygulamaları Binlerce'yi Sharkbot ile Enfekte
Çin siberlere bağlı yeni Badbazaar Android kötü amaçlı yazılım
Google Play'de bulunan 130k yüklemeli Android kötü amaçlı yazılım damlaları
Kaynak: Bleeping Computer