De cryptografische ondertekeningssleutel van een ontwikkelaar is een van de belangrijkste pijlers van Android-beveiliging. Telkens wanneer Android een app bijwerkt, moet de ondertekeningssleutel voor de oude app op uw telefoon overeenkomen met de sleutel voor de update die u installeert. Overeenkomende sleutels zorgen ervoor dat de update daadwerkelijk afkomstig is van het bedrijf dat uw app oorspronkelijk heeft gemaakt en geen kwaadwillig kapingschema is. Als de ondertekeningssleutel van een ontwikkelaar is gelekt, kan iedereen kwaadaardige app-updates verspreiden en zal Android ze graag installeren, denkend dat ze legitiem zijn.
Op Android is het app-updateproces niet alleen beperkt tot apps die zijn gedownload uit de App Store, maar ook gebundelde systeem-apps gemaakt door Google, de fabrikant van uw apparaat en andere gebundelde apps. Hoewel gedownloade apps een strikte set machtigingen en controles hebben, hebben gebundelde Android-apps toegang tot krachtigere en invasievere machtigingen en zijn ze niet onderworpen aan de gebruikelijke Play Store-beperkingen (daarom dringt Facebook er altijd op aan om een gebundelde app te zijn). Als een externe ontwikkelaar zijn ondertekeningssleutel verliest, zou dat slecht zijn. Als het was Android-OEM Ik ben de ondertekeningssleutel van de systeemtoepassing kwijtgeraakt, dat zou heel erg zijn.
Raad eens wat er gebeurde! Łukasz Siewierski, een lid van het Android-beveiligingsteam van Google, heeft een bericht op de Android Partner Issue Tracker (AVPI) met details over Uitgelekte platformcertificaatsleutels die actief worden gebruikt om malware te ondertekenen. De post is slechts een lijst met schakelaars, maar ze zijn allemaal ingeschakeld APKSpiegel of google VirusTotaal De site zal de namen van enkele van de gecompromitteerde sleutels vermelden: SamsungEn de LGEn de mediatech Zij zijn de zwaargewichten in de lijst met gelekte schakelaars, samen met enkele kleinere OEM’s zoals herbekijken en Szroco, dat maakt Onn-schijven van Walmart.
De ondertekeningssleutels van deze bedrijven zijn op de een of andere manier gelekt naar vreemden, en nu kun je er niet meer op vertrouwen dat apps die beweren van deze bedrijven te zijn, ook echt van hen zijn. Om het nog erger te maken, bevatten de “platformcertificaatsleutels” die ze verloren hadden een aantal serieuze machtigingen. Om te citeren uit het AVPI-bericht:
Het platformcertificaat is het ondertekeningscertificaat van de toepassing dat wordt gebruikt om de “Android”-toepassing te ondertekenen bij de systeemkopie. Een “android”-applicatie wordt uitgevoerd met een zeer bevoorrechte gebruikers-ID – android.uid.system – en heeft systeemmachtigingen, inclusief machtigingen voor toegang tot gebruikersgegevens. Elke andere toepassing die met hetzelfde certificaat is ondertekend, kan aangeven dat deze met dezelfde gebruikers-ID wil worden uitgevoerd, waardoor deze hetzelfde toegangsniveau tot het Android-besturingssysteem krijgt.
‘Reader. Furious humble travel enthusiast. Extreme food scientist. Writer. Communicator.’
