Android w opałach? Wykryto niebezpieczną lukę, która otwiera drogę dla złośliwego oprogramowania

Google poinformowało o wycieku kluczy do podpisywania aplikacji systemowych, które służą do weryfikowania oprogramowania. Producenci smartfonów używają certyfikatów platformy do sprawdzania autentyczności ważnych aplikacji. Jeśli wpadną w niepowołane ręce cyberprzestępców, to mogą otworzyć drogę do instalowania na urządzeniu złośliwego oprogramowania. Cóż, ten scenariusz niestety się spełnił. Czy to oznacza, że posiadacze urządzeń z Androidem są w niebezpieczeństwie?

Malware bez podejrzeń

Android jest systemem z otwartym kodem źródłowym. Oznacza to, że różni producenci urządzeń mogą tworzyć swoje własne aplikacje systemowe, które w odróżnieniu od tych pobieranych np. ze Sklepu Play, mają więcej uprawnień. Gdy przykładowo pobierasz apkę do edycji zdjęć od zewnętrznego developera, to jego zakres ingerencji w urządzenie ograniczony jest do korzystania z rolki aparatu. Procedura ta jest weryfikowana przez klucze kryptograficzne, które badają zgodność. Aktualizacja aplikacji wymaga klucza zgodnego ze starą wersją aplikacji, dzięki czemu można mieć pewność, że pochodzi z tego samego źródła.

Obecność klucza w niepowołanych rękach sprawia, że potencjalny cyberprzestępca może zainstalować złośliwe oprogramowanie pod przykrywką. Jest źle, gdy dojdzie do wycieku kluczy aplikacji pobieranych ze sklepu, ale gdy analogiczna sytuacja ma miejsce w przypadku oprogramowania systemowego od producentów sprzętu, to sprawa może skończyć się znacznie gorzej. Atakujący może bowiem przyznać dostęp malwarom, a z punktu widzenia urządzenia wszystko jest w porządku. Tak właśnie stało się z Samsugiem, LG i kilkoma pomniejszymi producentami.

Aplikacje producentów straciły zaufanie

Łukasz Siewierski – członek zespołu ds. bezpieczeństwa Androida w Google – opublikował post, w którym wyszczególnia ujawnione klucze certyfikatów platformy. Dzięki APKMirror lub Google VirusTotal można wykazać, że należą one do Samsunga, LG, Mediatek i Revoview (produkującego tablety dla Walmart). Każda aplikacja podpisana upublicznionym certyfikatem może deklarować chęć działania z tym samym identyfikatorem użytkownika, dając jej tym samym dostęp do systemu operacyjnego. Oznacza to, że aktualnie nie można ufać aplikacjom, które w przypadku urządzeń wymienionych producentów deklarują bezpośrednie pochodzenie od źródła.

Czytaj dalej poniżej

3 rzeczy, przez które przeklinam Android Auto Kamil Pieczonka

Nowe Samsungi będą najładniejszymi smartfonami z Androidem. Oto dlaczego Krzysztof Rojek

Google w czwartkowym oświadczeniu poinformowało, że firma świadoma jest luki, a producenci wprowadzili już środki zapobiegające ewentualnym zagrożeniom. Z komunikatu wynika, że na ten moment nie ma dowodów na niepożądane wykorzystanie kodów. Jak doszło do wycieku? Tego nie wyjaśniono. Specjaliści od cyberbezpieczeństwa starają się jednak uspokajać:

„Chociaż ten atak wygląda źle, tym razem mieliśmy szczęście, ponieważ producenci OEM mogą szybko zmieniać klucze, których dotyczy problem, wysyłając aktualizacje urządzeń bezprzewodowo” – Zack Newman, badacz bezpieczeństwa sieciowego w firmie Chainguard

Nie zmienia to jednak faktu, że dzięki kluczom można dokonać ataku poprzez przyznanie krytycznych uprawnień złośliwemu oprogramowaniu bez wiedzy i interakcji użytkownika sprzętu. Samsung potwierdził informacje podane przez Google, zaznaczając, że firma także nie wykryła żadnych niebezpiecznych incydentów. Otrzymaliśmy także odpowiedź z biura prasowego Samsunga:

„Samsung bardzo poważnie podchodzi do kwestii bezpieczeństwa urządzeń Galaxy. Od 2016 roku, po otrzymaniu informacji o tym problemie, wydawaliśmy stosowne poprawki bezpieczeństwa i dotychczas nie były znane żadne incydenty związane z potencjalną luką. Każdorazowo zalecamy naszym użytkownikom, aby aktualizowali swoje urządzenia za pomocą najnowszych aktualizacji oprogramowania.” – Biuro prasowe Samsung

LG nie skomentowało sytuacji. Eksperci ostrzegają jednak, że wycieku nie można bagatelizować, a producenci smartfonów powinni teraz mieć się na baczności, bo podobne incydenty są teraz wysoce prawdopodobne.

Stock image from Depositphotos

Źródło