Крупная утечка безопасности привела к созданию «доверенных» вредоносных приложений, которые могут получить доступ ко всей операционной системе Android на устройствах Samsung, LG и других.
Как сообщил сотрудник Google Лукаш Севиерски (через Мишаал Рахман), Инициатива Google по уязвимостям партнерских устройств Android (APVI) публично раскрыла новую уязвимость, затронувшую устройства от Samsung, LG и других.
Суть проблемы заключается в том, что ключи подписи платформы нескольких производителей Android были утекли за пределы их соответствующих компаний. Этот ключ используется для того, чтобы убедиться, что версия Android, работающая на вашем устройстве, является подлинной, созданной производителем. Тот же ключ может быть использован для подписи отдельных приложений.
По своей сути, Android доверяет любому приложению, подписанному тем же ключом, которым подписана сама операционная система. Злоумышленник, обладающий этими ключами подписи приложений, мог бы использовать систему Android «общий идентификатор пользователя» для предоставления вредоносному ПО полных разрешений системного уровня на затронутом устройстве. По сути, все данные на затронутом устройстве могли бы стать доступны злоумышленнику.
Важно отметить, что эта уязвимость Android возникает не только при установке нового или неизвестного приложения. Поскольку эти утекшие ключи платформы в некоторых случаях используются для подписи обычных приложений — включая приложение Bixby на некоторых телефонах Samsung — злоумышленник мог бы добавить вредоносное ПО в доверенное приложение, подписать вредоносную версию тем же ключом, и Android принял бы ее как «обновление». Этот метод работал бы независимо от того, откуда изначально взялось приложение: из Play Store, Galaxy Store или было установлено из стороннего источника.
В публичном сообщении Google не указано, какие устройства или производители были затронуты, но оно содержит хэши примеров вредоносных файлов. К счастью, каждый из файлов был загружен на VirusTotal, который часто также раскрывает название затронутой компании. Исходя из этого, мы знаем, что ключи следующих компаний были утекли (хотя некоторые ключи еще не идентифицированы):
- Samsung
- LG
- Mediatek
- szroco (производители планшетов Onn от Walmart)
- Revoview
Согласно краткому объяснению проблемы от Google, первым шагом для каждой затронутой компании является замена (или «вращение») своих ключей подписи платформы Android, чтобы больше не использовать утекшие. В любом случае, регулярная смена ключей является хорошей практикой для минимизации ущерба от потенциальных будущих утечек.
Кроме того, Google призвал всех производителей Android значительно ограничить частоту использования ключа платформы для подписи других приложений. Только приложения, которым необходим такой высокий уровень разрешений, должны подписываться таким образом, чтобы избежать потенциальных проблем с безопасностью.
Google заявляет, что с момента сообщения о проблеме в мае 2022 года Samsung и все остальные затронутые компании уже «приняли меры по смягчению последствий для минимизации воздействия на пользователей» этих серьезных утечек безопасности. Точное значение этого неясно, поскольку некоторые уязвимые ключи использовались в приложениях Android от Samsung в последние несколько дней, согласно APKMirror.
Примечательно, что, хотя в сообщении Google говорится, что об эксплойте стало известно в мае 2022 года, некоторые примеры вредоносного ПО были впервые просканированы VirusTotal еще в 2016 году. Пока неясно, означает ли это, что утечка и связанные с ней эксплойты активно использовались против некоторых устройств в течение этого времени.
В своем заявлении Google уточнила, что устройства пользователей защищены от этой конкретной уязвимости несколькими способами, в том числе через Google Play Защиту, «меры по смягчению последствий» от производителей устройств и другие. Кроме того, этот эксплойт не попал в приложения, распространяемые через Google Play Store.
Партнеры-производители оперативно приняли меры по смягчению последствий, как только мы сообщили о компрометации ключа. Конечные пользователи будут защищены мерами, реализованными партнерами-производителями. Google внедрил широкие средства обнаружения вредоносного ПО в Build Test Suite, который сканирует системные образы. Google Play Защита также обнаруживает вредоносное ПО. Нет никаких указаний на то, что это вредоносное ПО находится или находилось в Google Play Store. Как всегда, мы советуем пользователям убедиться, что они используют последнюю версию Android.
— Представитель Google
Пока детали этой последней утечки безопасности Android подтверждаются, есть несколько простых шагов, которые вы можете предпринять, чтобы обеспечить безопасность своего устройства. Во-первых, убедитесь, что у вас установлена последняя доступная прошивка для вашего устройства. Если ваше устройство больше не получает регулярные обновления безопасности Android, мы рекомендуем как можно скорее обновить его до более новой модели.
Кроме того, избегайте установки приложений из сторонних источников на свой телефон, даже при обновлении уже установленного приложения. Если возникнет необходимость установить приложение из стороннего источника, убедитесь, что вы полностью доверяете устанавливаемому файлу.
Дилан Руссель внес вклад в эту статью.
Больше о Android:
- Google сообщает о снижении числа уязвимостей безопасности памяти Android по мере роста использования Rust
- Обновления системы Google Play за декабрь: бета-версия цифровых водительских прав, подготовка к Pixel Tablet
- Samsung хвастается быстрым развертыванием Android 13 и хочет, чтобы Android 14 был еще быстрее