Android-OEM-Key-Leck bedeutet, dass seitlich geladene „Updates“ ernsthafte Malware verbergen könnten
Ein entscheidender Aspekt der Sicherheit von Android-Smartphones ist der Anwendungssignaturprozess. Es ist im Wesentlichen eine Möglichkeit, sicherzustellen, dass alle App-Updates vom ursprünglichen Entwickler stammen, da der Schlüssel, der zum Signieren von Anwendungen verwendet wird, immer privat gehalten werden sollte. Eine Reihe dieser Plattformzertifikate von Samsung, MediaTek, LG und Revoview scheinen durchgesickert zu sein und, schlimmer noch, zum Signieren von Malware verwendet worden zu sein. Dies wurde von der Android Partner Vulnerability Initiative (APVI) offengelegt und gilt nur für App-Updates, nicht für OTAs.
Beim Signieren von Schlüssellecks könnte ein Angreifer theoretisch eine bösartige App mit einem Signaturschlüssel signieren und als „Update“ an eine App auf dem Telefon einer anderen Person verteilen. Alles, was eine Person tun müsste, war, ein Update von einer Drittanbieter-Site herunterzuladen, was für Enthusiasten eine ziemlich häufige Erfahrung ist. In diesem Fall würde der Benutzer dem Android-Betriebssystem unwissentlich Zugriff auf Malware gewähren, da diese schädlichen Apps die gemeinsame UID von Android nutzen und mit dem „Android“-Systemprozess kommunizieren können.
„Ein Plattformzertifikat ist das Anwendungssignaturzertifikat, das zum Signieren der „Android“-Anwendung auf dem Systemabbild verwendet wird. Die „Android“-Anwendung wird mit einer hochprivilegierten Benutzer-ID – android.uid.system – ausgeführt und verfügt über Systemberechtigungen, einschließlich Zugriffsberechtigungen Benutzerdaten. Jede andere Anwendung, die mit demselben Zertifikat signiert ist, kann erklären, dass sie mit derselben Benutzer-ID ausgeführt werden möchte, wodurch sie denselben Zugriff auf das Android-Betriebssystem erhält“, erklärt der Reporter der APVI. Diese Zertifikate sind herstellerspezifisch, da sich das Zertifikat auf einem Samsung-Gerät von dem Zertifikat auf einem LG-Gerät unterscheidet, selbst wenn sie zum Signieren der „Android“-Anwendung verwendet werden.
Diese Malware-Samples wurden von Łukasz Siewierski, einem Reverse Engineer bei Google, entdeckt. Siewierski teilte SHA256-Hashes von jedem der Malware-Beispiele und ihre Signaturzertifikate, und wir konnten diese Beispiele auf VirusTotal anzeigen. Es ist nicht klar, wo diese Beispiele gefunden wurden und ob sie zuvor im Google Play Store, auf APK-Sharing-Sites wie APKMirror oder anderswo verteilt wurden. Die Liste der Paketnamen von Malware, die mit diesen Plattformzertifikaten signiert wurde, finden Sie unten.
- com.vantage.ectronic.cornmuni
- com.russisch.signato.renewis
- com.sledsdffsjkh.Search
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
In dem Bericht heißt es: „Alle betroffenen Parteien wurden über die Ergebnisse informiert und haben Abhilfemaßnahmen ergriffen, um die Auswirkungen auf die Benutzer zu minimieren.“ Zumindest bei Samsung scheinen diese Zertifikate jedoch noch im Einsatz zu sein. Die Suche auf APKMirror nach seinem durchgesickerten Zertifikat zeigt Updates von heute, die mit diesen durchgesickerten Signaturschlüsseln verteilt werden.
Besorgniserregend ist, dass eines der Malware-Samples, das mit dem Zertifikat von Samsung signiert war, erstmals im Jahr 2016 eingereicht wurde. Es ist unklar, ob die Zertifikate von Samsung daher seit sechs Jahren in böswilligen Händen sind. Noch weniger klar ist das zu diesem Zeitpunkt wie diese Zertifikate in freier Wildbahn in Umlauf gebracht wurden und ob dadurch bereits Schäden entstanden sind. Die Leute laden ständig App-Updates von der Seite und verlassen sich auf das Zertifikatsignatursystem, um sicherzustellen, dass diese App-Updates legitim sind.
Was Unternehmen tun können, ist der beste Weg nach vorne eine Schlüsselrotation. Das APK-Signaturschema v3 von Android unterstützt die Schlüsselrotation nativ, und Entwickler können von Signing Scheme v2 auf v3 upgraden.
Die vom Reporter zum APVI vorgeschlagene Maßnahme lautet: „Alle betroffenen Parteien sollten das Plattformzertifikat rotieren lassen, indem sie es durch einen neuen Satz öffentlicher und privater Schlüssel ersetzen. Außerdem sollten sie eine interne Untersuchung durchführen, um die Ursache des Problems zu finden und Maßnahmen ergreifen, um zu verhindern, dass sich der Vorfall in Zukunft ereignet.“
„Wir empfehlen außerdem dringend, die Anzahl der mit dem Plattformzertifikat signierten Anwendungen zu minimieren, da dies die Kosten für die Rotation von Plattformschlüsseln erheblich senken wird, falls in Zukunft ein ähnlicher Vorfall auftreten sollte“, heißt es abschließend.
Als wir uns an Samsung wandten, erhielten wir von einem Unternehmenssprecher die folgende Antwort.
Samsung nimmt die Sicherheit von Galaxy-Geräten ernst. Wir haben seit 2016 Sicherheitspatches herausgegeben, nachdem wir auf das Problem aufmerksam gemacht wurden, und es sind keine Sicherheitsvorfälle in Bezug auf diese potenzielle Schwachstelle bekannt. Wir empfehlen Benutzern immer, ihre Geräte mit den neuesten Software-Updates auf dem neuesten Stand zu halten.
Die obige Antwort scheint zu bestätigen, dass das Unternehmen seit 2016 von diesem durchgesickerten Zertifikat wusste, obwohl es behauptet, dass es keine bekannten Sicherheitsvorfälle bezüglich der Schwachstelle gegeben habe. Es ist jedoch nicht klar, was es sonst noch getan hat, um diese Schwachstelle zu schließen, und da die Malware erstmals 2016 bei VirusTotal eingereicht wurde, scheint es, dass sie definitiv irgendwo in freier Wildbahn ist.
Wir haben MediaTek und Google um einen Kommentar gebeten und werden Sie auf dem Laufenden halten, wenn wir eine Rückmeldung erhalten.