.
Chaves de certificado de plataforma Android comprometidas de fabricantes de dispositivos, incluindo Samsung, LG e Mediatek, estão sendo usadas para assinar malware e implantar spyware, entre outros softwares nocivos.
Googler Łukasz Siewierski encontrado e relatado o problema de segurança e é um doozy que permite que aplicativos maliciosos assinados com um dos certificados comprometidos obtenham o mesmo nível de privilégios do sistema operacional Android – acesso essencialmente irrestrito ao dispositivo da vítima.
Conforme explicado em uma Android Partner Vulnerability Initiative (AVPI) alerta de segurança:
Também no alerta, o Google listou 10 amostras de malware e hashes SHA256 relacionados e recomendou que todos os fornecedores de dispositivos inteligentes afetados alternem seus certificados de plataforma.
“Também recomendamos minimizar o número de aplicativos assinados com o certificado da plataforma, pois isso reduzirá significativamente o custo de rotação das chaves da plataforma caso um incidente semelhante ocorra no futuro”, disse o AVPI.
A execução de várias amostras de malware por meio do VirusTotal do Google mostra que fornecedores de segurança terceirizados sinalizaram as amostras como ladrões de informações, downloaders, backdoors, malware HiddenAds, Metasploit, malware dropper e outros cavalos de Tróia.
“Os parceiros OEM prontamente implementaram medidas de mitigação assim que relatamos o comprometimento da chave”, disse um porta-voz do Google Strong The One. “Os usuários finais serão protegidos por mitigações de usuário implementadas por parceiros OEM.”
O Build Test Suite do Google, que verifica as imagens do sistema, junto com o Google Play Protect pode detectar o malware, de acordo com o porta-voz.
“Não há indicação de que este malware esteja ou esteve na Google Play Store”, acrescentou o porta-voz. “Como sempre, aconselhamos os usuários a garantir que estejam executando a versão mais recente do Android”.
A partir de 1º de dezembro, no entanto, alguns dos certificados vazados foram ainda está sendo usado para assinar aplicativos, de acordo com o especialista em segurança do Android, Mishaal Rahman.
“Você não pode confiar que um aplicativo foi assinado pelo fornecedor/OEM legítimo se o certificado de plataforma vazou”, ele advertido. “Não faça sideload desses aplicativos de sites de terceiros/fora do Google Play ou de uma loja OEM confiável.” ®
.
