Samsung e telefones LG vulneráveis ​​devido a certificados vazados, descobre o Google

A Android Partner Vulnerability Initiative do Google, em uma grande admissão de vazamento de segurança, divulgou uma nova vulnerabilidade chave que afetou smartphones Android de grandes marcas como Samsung e LG, entre outros. Devido ao vazamento das chaves de assinatura usadas pelos OEMs do Android, aplicativos impostores ou malware podem se disfarçar como aplicativos “confiáveis”. O problema foi relatado anteriormente em maio deste ano, após o qual várias empresas, incluindo a Samsung, tomaram medidas para controlar a vulnerabilidade.

A falha de segurança foi revelada pelo funcionário do Google Łukasz Siewierski (através da Mishaal Rahman de Esper). Sirwierski, por meio de seus tweets, revelou como os certificados da plataforma têm sido usados ​​para assinar aplicativos de malware no Android.

No centro do problema está uma vulnerabilidade do mecanismo de confiança da chave da plataforma Android que pode ser explorada por invasores mal-intencionados. Por padrão, o Android confia em qualquer aplicativo que use uma chave de assinatura de plataforma legítima, que é usada para assinar os principais aplicativos do sistema, por meio do sistema de ID de usuário compartilhado do Android.

No entanto, os fabricantes de equipamentos originais (OEMs) do Android tiveram suas chaves de assinatura de plataforma vazadas, permitindo que os criadores de malware obtenham permissões no nível do sistema em um dispositivo de destino. Isso tornaria todos os dados do usuário no dispositivo específico disponíveis para o invasor, assim como outro aplicativo de sistema do fabricante assinado com o mesmo certificado.

Outra parte alarmante sobre a vulnerabilidade é que ela não exige necessariamente que o usuário instale um aplicativo novo ou “desconhecido”. As chaves de plataforma vazadas também podem ser usadas para assinar aplicativos confiáveis ​​comuns, como o aplicativo Bixby em um dispositivo Samsung. Um usuário que baixou tal aplicativo de um site de terceiros não veria um aviso ao instalá-lo em seu smartphone, pois o certificado corresponderia ao de seu sistema.

O Google, no entanto, não mencionou explicitamente a lista de dispositivos ou OEMs que até agora foram afetados pela vulnerabilidade crítica em sua divulgação pública. No entanto, a divulgação inclui uma lista de exemplos de arquivos de malware. Desde então, a plataforma confirmou a lista de smartphones afetados, que inclui dispositivos da Samsung, LG, Mediatek, Xiaomi e Revoview.

O gigante das buscas também sugeriu maneiras para as empresas afetadas mitigar o problema em questão. A primeira etapa envolve produzir chaves de assinatura da plataforma Android que foram sinalizadas como vazadas e substituí-las por novas chaves de assinatura. A empresa também pediu a todos os fabricantes de Android que minimizem drasticamente o uso frequente de chave de plataforma para um aplicativo assinar outros aplicativos.

Segundo o Google, o problema foi relatado pela primeira vez em maio. Desde então, a Samsung e todas as outras empresas afetadas já tomaram medidas corretivas para mitigar e minimizar as vulnerabilidades existentes. No entanto, de acordo com o Android Police, algumas das chaves vulneráveis ​​listadas na divulgação foram usadas recentemente para aplicativos para telefones Samsung e LG carregados no APK Mirror.

“Os parceiros OEM prontamente implementaram medidas de mitigação assim que relatamos o comprometimento principal. Os usuários finais serão protegidos por mitigações de usuário implementadas por parceiros OEM”, disse o Google em comunicado ao BleepingComputer.

Os usuários do Android são aconselhados a atualizar suas versões de firmware para as atualizações mais recentes disponíveis, a fim de permanecerem protegidos contra possíveis falhas de segurança, como a divulgada pelo Google, e ficarem atentos ao baixar aplicativos de fontes de terceiros.