В конце 2023 года компания Google раскрыла серьезную проблему, затрагивающую в основном телефоны Samsung. Некоторые сертификаты платформы от Samsung попали в руки злоумышленников, что позволило им создавать вредоносные программы с повышенными правами, потенциально позволяя хакерам взламывать телефоны, загружая на них поддельное программное обеспечение. Похоже, что это касается всех телефонов данного производителя, независимо от того, установлена ли на них ОС Android 13. Вот все, что мы знаем об уязвимости, и что вы можете сделать, чтобы защитить себя и свой телефон
Как произошла утечка сертификатов платформы Android, и как она была замечена?
В настоящее время неясно, как произошла утечка сертификатов. Мы знаем только то, что они просочились. Интересно, что, похоже, один из сертификатов был использован вредоносным ПО еще в 2016 году. Тогда на VirusTotal было зарегистрировано вредоносное приложение, подписанное, как теперь известно, скомпрометированным сертификатом. Либо некоторые из этих данных ошибочны, либо уязвимость не была замечена все это время
Из этой находки есть и положительные моменты. Даже если было затронуто 10 сертификатов, вполне вероятно, что они не были извлечены в ходе единой, скоординированной атаки, а распространялись постепенно. В противном случае свидетельства, которые мы видим, не были бы так разбросаны, и не было бы этого выброса 2016 года
Почему утечка сертификатов для платформы Android так опасна?
Производители используют сертификаты платформы или производителя для подписи программного обеспечения и версий Android и проверки их легитимности. Приложениям с такими подписями можно доверять повышенные разрешения на взаимодействие с базовой системой Android и пользовательскими данными. Обычно это позволяет лишь нескольким жизненно важным системным приложениям получить доступ к этим частям вашего телефона. Тем не менее, если злоумышленник получает в свои руки эти сертификаты, он может подписать ими вредоносное ПО и предоставить ему такой же расширенный доступ, как и легитимному приложению
Затем эта вредоносная программа может быть распространена на телефоны Android, которые установят ее и назначат все запрашиваемые разрешения без дополнительных вопросов или взаимодействия с пользователем. Это делает данный вектор атаки очень опасным. Вредоносные программы для Android обычно должны убедить пользователей предоставить им повышенные разрешения, прежде чем они смогут посеять хаос на устройствах
Какие телефоны затронуты утечкой сертификата платформы?
Хотя Google раскрыл информацию об утечке 10 отдельных сертификатов, единственными, которые, как было установлено, были использованы, были два сертификата от Samsung и LG. В то время как LG не использовала сертификат для многих своих приложений, Samsung активно использует данный сертификат для сотен своих приложений. Если у вас есть телефон Samsung Galaxy, он, скорее всего, в какой-то момент был уязвим для атаки. Тем не менее, компания Google работала с Samsung и другими производителями над устранением уязвимости и считает, что она устранена. На данный момент крайне маловероятно, что все еще существует вредоносное ПО, которое может использовать эти сертификаты для атаки на ваш телефон
Еще один производитель, который может пострадать, – производитель планшетов Onn от Walmart, szroco. Есть также производитель чипов MediaTek и китайский ODM Revoview. Рекомендуется быть осторожным, если у вас есть устройство от одного из этих производителей или с чипом MediaTek, так как в отчете по безопасности указано, что вредоносное ПО было замечено с использованием всех этих сертификатов
Как я могу защитить себя от вредоносного ПО, использующего сертификат платформы?
Компания Google уже обновила встроенный сканер вредоносных программ, предустановленный на всех телефонах Android, – Google Play Protect. С его помощью установить на телефон вредоносное ПО, использующее незаконно приобретенные сертификаты платформы, будет практически невозможно. Тем не менее, не помешает убедиться в том, что ваш телефон Samsung Galaxy обновлен, и соблюдать некоторые основные правила безопасности
Чтобы защитить себя от вредоносных программ, следует избегать загрузки приложений не из Play Store, даже если предполагается, что это обновление приложения, уже установленного на вашем телефоне. Для большинства людей лучше всего придерживаться официальной платформы Google Play Store, поскольку существует лишь несколько надежных и проверенных источников распространения приложений за ее пределами. Если кто-то присылает вам ссылку для загрузки приложения не из Play Store, лучше проигнорируйте ее или поищите альтернативу в Play Store
Тем не менее, Play Store не всегда совершенен, и иногда вредоносные программы проскальзывают сквозь щели. Поэтому при установке приложений необходимо руководствоваться здравым смыслом. Никогда вслепую не давайте приложениям разрешения, которые им не нужны. Также следует с осторожностью давать разрешение на использование служб доступности, если не ясно, зачем они нужны приложению
Что делают производители для предотвращения утечки сертификатов платформы?
После инцидента Google дал производителям и другим поставщикам Android несколько домашних заданий. Компаниям рекомендуется часто менять свои сертификаты, чтобы ограничить вектор атаки в случае повторной утечки сертификата по какой-либо причине. Поставщиков также просят использовать сертификаты платформы для как можно меньшего числа приложений, предпочитая использовать более ограниченные сертификаты. Это то, над чем Samsung необходимо поработать, учитывая, что компания предлагает сотни приложений, использующих один и тот же сертификат платформы
Производителям рекомендуется использовать последнюю версию сертификатов, V3. Это позволит им заменить старый сертификат на новый без необходимости обновления системы на своих устройствах. Более старые версии сертификатов не поддерживают эту функцию, поэтому устройства должны получить обновление системы для приема обновленных сертификатов
Похоже, что ситуация уже урегулирована, хотя остается несколько нерешенных вопросов. До сих пор неясно, как произошла утечка сертификатов. Они должны быть одними из самых защищенных активов для инженеров-программистов, поскольку в чужих руках они могут посеять хаос. Также неясно, как именно инцидент 2016 года с вредоносным ПО, сертифицированным Samsung, влияет на ситуацию и связан ли он с тем, что происходит сейчас
Комментировать