Ключовете за криптиране на производителите на телефони с Android са откраднати и използвани в зловреден софтуер

Докато Google се развива отворен код Операционна система Android за мобилни телефониOEM производителите, които правят смартфони с Android, като Samsung, играят огромна роля в проектирането и осигуряването на операционната система за своите устройства. Но ново откритие, което Google Направено общо Четвъртък разкри, че редица цифрови сертификати, които доставчиците използват за валидиране на жизненоважни системни приложения, наскоро са били компрометирани и вече са злоупотребени, за да поставят печата на одобрение върху злонамерени приложения за Android.

Както при почти всяка компютърна операционна система, Android на Google е създаден с модела „привилегия“, така че различните програми, работещи на вашия телефон с Android, от приложения на трети страни до самата операционна система, са възможно най-ограничени и достъпът е само до позволено е изграждането на системата според техните нужди. Това не позволява на най-новата игра, която играете, да събере тихо всичките ви пароли, като същевременно позволява на приложението ви за редактиране на снимки достъп до ролката на камерата ви, а цялата структура се прилага чрез цифрови сертификати, подписани с ключове за криптиране. Ако ключовете са компрометирани, атакуващите могат да предоставят на своите програми разрешения, които не трябва да са налични.

Google каза в изявление в четвъртък, че производителите на устройства с Android са въвели автоматично смекчаващи мерки, ротация на ключове и корекции за натискане на телефоните на потребителите. Компанията е добавила скенер за откриване на всеки злонамерен софтуер, който се опитва да злоупотреби с компрометирани сертификати. Google каза, че не е открило доказателства, че злонамереният софтуер е проникнал в Google Play Store, което означава, че се разпространява чрез разпространение от трети страни. Разкриването и координацията за справяне със заплахата се случи чрез консорциум, известен като Android Partner Vulnerability Initiative.

Как бихте оценили това, казва Зак Нойман, изследовател във фирмата за сигурност на веригата за доставки Chainguard анализи от катастрофата.

Злоупотребата с компрометирани платформени сертификати би позволила на атакуващ да създаде злонамерен софтуер, който сканира и има широки разрешения, без да се налага да подвежда потребителите да ги предоставят. Докладът на Google от обратния инженер на Android Łukasz Siewierski предоставя някои примери за зловреден софтуер, който се възползва от откраднати сертификати. Те посочват Samsung и LG като двама от производителите, чиито сертификати са били компрометирани, наред с други.

LG не отговори на искане от Wired за коментар. Samsung признава компромиса в изявление и казва, че „не са известни инциденти със сигурността по отношение на тази потенциална уязвимост“.

Въпреки че Google изглежда е уловил проблема, преди той да ескалира, инцидентът подчертава факта, че мерките за сигурност могат да се превърнат в единична точка на провал, ако не са проектирани внимателно и възможно най-прозрачно. самият Google за първи път Механизъм миналата година, наречен Google Binary Transparency, който може да действа като проверка дали версията на Android, работеща на дадено устройство, е предвидената версия, която се проверява. Има сценарии, при които нападателите могат да получат толкова много достъп до системата на целта, че да победят тези инструменти за регистриране, но си струва да се публикува, за да се минимизират щетите и да се докладва за подозрително поведение във възможно най-много ситуации.

Както винаги, най-добрата защита на потребителите е Поддържайте софтуера актуализиран на всички техни устройства.

„Реалността е, че ще видим, че нападателите продължават да преследват този тип достъп“, казва Нюман от Chainguard. „Но това предизвикателство не е уникално за Android и добрата новина е, че инженерите и изследователите по сигурността са постигнали значителен напредък в изграждането на решения, които предотвратяват, откриват и позволяват възстановяване от тези атаки.“