作为重大安全漏洞的一部分,多家 Android OEM 的证书最近被曝光。这一安全缺陷导致全球数百万台 Android 设备容易受到恶意软件的攻击。
大规模的安全漏洞促使安全研究人员对可以访问 Android 整个操作系统的恶意应用程序的出现敲响了警钟。泄漏事件是由Łukasz Siewierski,Google 员工兼恶意软件工程师。
谷歌的 Android 安全团队发现,包括三星、LG 和联发科在内的多家 Android OEM 都发现了他们的加密应用程序签名密钥被泄露,从而让黑客可以轻松地在智能手机上部署恶意应用程序。
什么是应用程序签名证书?
Android 智能手机安全的一个重要方面是应用程序签名过程。它本质上是关于确保应用程序更新来自原始开发人员的方法,因为用于签署应用程序的密钥必须始终保持私有。
使用此证书签名的应用程序可使用具有高特权的用户 ID, Android.uid.系统。后者拥有系统权限,包括访问用户数据的权限。使用相同证书签名的任何其他应用程序都可以声明它希望使用相同的用户 ID 运行,从而赋予它对 Android 操作系统的相同级别的访问权限。
问题是三星、联发科、LG 和 Revoview 的许多平台证书似乎已被泄露更糟糕的是,它被用来签署恶意软件。
简而言之,拥有私钥的攻击者可以将恶意软件添加到受信任的应用程序中。由于该应用程序的恶意版本使用 Android 安全信任的相同密钥,无论应用程序的来源如何,都会执行应用程序更新。
另请阅读—— Android:数百万智能手机易受攻击,发现重大安全漏洞
更糟糕的是,受影响的 OEM 未能删除受损的密钥并用新密钥替换它们。相反,他们继续使用它们。就他而言,三星最近甚至发布了使用相同密钥的应用程序更新。然而,谷歌于 2022 年 5 月首次发现了该问题。
这意味着黑客有可能将恶意软件注入三星官方应用程序。该恶意软件可能以更新的形式出现,在安装过程中通过了所有安全检查,并赋予该恶意软件几乎完全访问其他应用程序中的用户数据的权限。
Google 通过多种方式确保 Android 手机的安全,包括通过 Google Play Protect、OEM 缓解措施等。显然,Play 商店中的应用程序也是安全的。 “我们报告关键漏洞后,OEM 合作伙伴迅速实施了缓解措施。最终用户将受到 OEM 合作伙伴采取的缓解措施的保护“公司发言人表示。
这家科技巨头强烈建议受影响的企业“通过用一组新的公钥和私钥替换平台证书来轮换平台证书»。 «此外,他们应该进行内部调查,找出问题的根本原因,并采取措施防止此类事件再次发生。»,该公司补充道。因此,我们预计 LG、联发科以及三星快速更新其证书以保护用户免受恶意黑客的侵害。
