.
A chave de assinatura criptográfica de um desenvolvedor é um dos principais pilares da segurança do Android. Sempre que o Android atualiza um aplicativo, a chave de assinatura do aplicativo antigo em seu telefone precisa corresponder à chave da atualização que você está instalando. As chaves correspondentes garantem que a atualização realmente vem da empresa que originalmente criou seu aplicativo e não é uma trama de sequestro malicioso. Se a chave de assinatura de um desenvolvedor vazasse, qualquer um poderia distribuir atualizações de aplicativos maliciosos e o Android as instalaria alegremente, pensando que são legítimas.
No Android, o processo de atualização de aplicativos não é apenas para aplicativos baixados de uma loja de aplicativos, você também pode atualizar aplicativos integrados do sistema feitos pelo Google, o fabricante do seu dispositivo e quaisquer outros aplicativos integrados. Enquanto os aplicativos baixados têm um conjunto estrito de permissões e controles, os aplicativos integrados do sistema Android têm acesso a permissões muito mais poderosas e invasivas e não estão sujeitos às limitações usuais da Play Store (é por isso que o Facebook sempre paga para ser um aplicativo integrado ). Se um desenvolvedor terceirizado perdesse sua chave de assinatura, seria ruim. Se um Android OEM já perdeu a chave de assinatura do aplicativo do sistema, seria muito, muito ruim.
Adivinha o que aconteceu! Łukasz Siewierski, membro da equipe de segurança do Android do Google, publicou uma postagem no rastreador de problemas da Android Partner Vulnerability Initiative (AVPI) detalhando chaves de certificado de plataforma vazadas que estão sendo usadas ativamente para assinar malware. A postagem é apenas uma lista das chaves, mas a execução de cada uma delas no APKMirror ou no site VirusTotal do Google colocará nomes em algumas das chaves comprometidas: Samsung, LG e Mediatek são os pesos pesados na lista de chaves vazadas, junto com algumas OEMs menores, como Revoview e Szroco, que fabricam os tablets Onn do Walmart.
Essas empresas de alguma forma tiveram suas chaves de assinatura vazadas para estranhos, e agora você não pode confiar que os aplicativos que afirmam ser dessas empresas são realmente deles. Para piorar as coisas, as “chaves de certificado de plataforma” que eles perderam têm algumas permissões sérias. Para citar a postagem da AVPI:
Um certificado de plataforma é o certificado de assinatura do aplicativo usado para assinar o aplicativo “android” na imagem do sistema. O aplicativo “android” é executado com um ID de usuário altamente privilegiado — android.uid.system — e possui permissões de sistema, incluindo permissões para acessar dados do usuário. Qualquer outro aplicativo assinado com o mesmo certificado pode declarar que deseja executar com o mesmo id de usuário, dando-lhe o mesmo nível de acesso ao sistema operacional Android.
.
