.
Samsung, LG, MediaTek e OEMs menores estão listados na lista de chaves vazadas.
Um dos pilares mais importantes da segurança do Android é a chave de assinatura criptográfica usada pelos desenvolvedores. As atualizações de aplicativos Android exigem que a chave de assinatura do aplicativo antigo em seu telefone corresponda à que você está instalando. As chaves correspondentes são necessárias para garantir que a atualização venha da empresa original e não seja uma trama de seqüestro maliciosa. O Android ficaria feliz em instalar atualizações de aplicativos se a chave de assinatura de um desenvolvedor fosse comprometida.
Lukasz Siewierski, membro da equipe de segurança Android do Google, postou uma mensagem no rastreador de problemas de Incidente de Vulnerabilidade de Parceiro Android (AVPI) que detalha as chaves de certificado de plataforma vazadas sendo usadas para criar malware. Embora a postagem liste apenas as chaves, executá-las em diferentes serviços, como o VirusTotal do Google, identificará as que foram comprometidas. Samsung, LG, MediaTek e OEMs menores estão listados na lista de chaves vazadas.
A atualização de aplicativos Android não se limita a aplicativos baixados de uma App Store. Ele também permite que você atualize os aplicativos integrados do sistema Android criados pelo Google, pelo fabricante do seu dispositivo ou por qualquer outro aplicativo integrado. Os aplicativos baixados só podem acessar determinadas permissões e controles. Os aplicativos integrados do sistema Android têm permissões muito mais poderosas do que os aplicativos baixados e não estão sujeitos às restrições da Play Store.
Por que os OEMs devem parar de usar as chaves comprometidas para a segurança de seus aplicativos
Nesse cenário, fica difícil entender por que a Samsung, por exemplo, ainda está usando a chave vazada. O Signature Scheme V3 do Android permite que os desenvolvedores alterem as chaves do aplicativo simplesmente atualizando. Isso permite que você autentique o aplicativo com a chave antiga e a nova e indica que apenas a nova chave terá suporte para atualizações futuras. É um requisito essencial para os aplicativos da Play Store – no entanto, os aplicativos do sistema OEM não estão sujeitos a essas regras da Play Store.
Existem, de fato, amostras de malware assinadas com as chaves roubadas de 2016. Há boas notícias: nenhuma dessas amostras maliciosas chegou à Play Store. Além disso, as chaves vazadas pertencem apenas a aplicativos – essas não são as chaves usadas para assinar atualizações do sistema operacional, o que teria sido um verdadeiro cenário de pesadelo.
Esta notícia serve como um lembrete de que é crucial proteger ativamente nossos dispositivos, pois eles estão expostos a todos os tipos de ataques, de malware a phishingque recentemente tem segmentado usuários de telefones celulares por meio de SMS.
.
