作為重大安全漏洞的一部分,多家 Android OEM 的憑證最近被揭露。這項安全缺陷導致全球數百萬台 Android 裝置容易受到惡意軟體的攻擊。
大規模的安全漏洞促使安全研究人員對可以存取 Android 整個作業系統的惡意應用程式的出現敲響了警鐘。洩漏事件是由Łukasz Siewierski,Google 員工兼惡意軟體工程師。
谷歌的 Android 安全團隊發現,包括三星、LG 和聯發科在內的多家 Android OEM 都發現了他們的加密應用程式簽署金鑰被洩露,從而讓駭客可以輕鬆地在智慧型手機上部署惡意應用程式。
什麼是應用程式簽署憑證?
Android 智慧型手機安全的一個重要面向是應用程式簽署流程。它本質上是關於確保應用程式更新來自原始開發人員的方法,因為用於簽署應用程式的密鑰必須始終保持私有。
使用此憑證簽署的應用程式可使用具有高特權的使用者 ID, Android.uid.系統。後者擁有系統權限,包括存取使用者資料的權限。使用相同憑證簽署的任何其他應用程式都可以聲明它希望使用相同的使用者 ID 運行,從而賦予它對 Android 作業系統的相同級別的存取權限。
問題是三星、聯發科、LG 和 Revoview 的許多平台證書似乎已洩露更糟的是,它被用來簽署惡意軟體。
簡而言之,擁有私鑰的攻擊者可以將惡意軟體添加到受信任的應用程式中。由於該應用程式的惡意版本使用 Android 安全信任的相同金鑰,無論應用程式的來源為何,都會執行應用程式更新。
另請閱讀—— Android:數百萬智慧型手機易受攻擊,發現重大安全漏洞
更糟的是,受影響的 OEM 未能刪除受損的密鑰並用新密鑰替換它們。相反,他們繼續使用它們。就他而言,三星最近甚至發布了使用相同密鑰的應用程式更新。然而,谷歌於 2022 年 5 月首次發現了這個問題。
這意味著駭客有可能將惡意軟體注入三星官方應用程式。該惡意軟體可能以更新的形式出現,在安裝過程中通過了所有安全性檢查,並賦予該惡意軟體幾乎完全存取其他應用程式中的使用者資料的權限。
Google 透過多種方式確保 Android 手機的安全,包括透過 Google Play Protect、OEM 緩解措施等。顯然,Play 商店中的應用程式也是安全的。 “我們報告關鍵漏洞後,OEM 合作夥伴迅速實施了緩解措施。最終用戶將受到 OEM 合作夥伴採取的緩解措施的保護“公司發言人表示。
這家科技巨頭強烈建議受影響的企業“透過用一組新的公鑰和私鑰替換平台憑證來輪換平台憑證»。 «此外,他們應該進行內部調查,找出問題的根本原因,並採取措施防止此類事件再次發生。»,該公司補充道。因此,我們預計 LG、聯發科以及三星快速更新其憑證以保護使用者免受惡意駭客的侵害。
