Milióny Android telefónov sú v ohrození. Unikli „podpisy aplikácií“, ktoré otvárajú hackerom dvere do smartfónov
Zatiaľ nie je jasné, ako sa hackeri dostali k podpisom aplikácií významných vývojárov, no ide o závažné bezpečnostné riziko.
Útočníci častokrát na to, aby sa dostali pod kožu obete, využívajú rôzne podvodné techniky. No môžu na to použiť aj chyby vo softvéri. Najnovšie portál bleepingcomputer.com upozorňuje na bezpečnostnú dieru v Android smartfónoch, ktorá súvisí s certifikátmi aplikácií.
Jedným z bezpečnostných mechanizmov telefónov s operačným systémom Androidu sú podpisy aplikácií. Tie potvrdzujú, že aplikáciu vytvorila konkrétna spoločnosť. No časť ceritfikátov, ktoré by si mali vývojári softvéru strážiť ako oko v hlavne, najnovšie uniklo. To otvorilo dvere hackerom do miliónov zariadení.
Hackeri získali prístup k miliónom smartfónov
Tieto podpisy sú využívané napríklad i na podpisovanie systémových aplikácií prípadne iných aplikácií, ktoré nie sú predinštalované v telefóne. To je práve kameňom úrazu! Pre aplikácie, ktoré prichádzajú v telefónoch už nahraté, je typické, že majú zväčša väčšie oprávnenia ako ostatný softvér v smartfóne. Tieto aplikáciu môžu častokrát napríklad pristupovať k dátam uloženým v telefóne alebo k systémovým nastaveniam, ktoré môžu aj upravovať.
„Aplikácia „android“ beží s vysoko privilegovaným ID používateľa – android.uid.system – a je držiteľom systémových oprávnení vrátane oprávnení na prístup k údajom používateľa. Akákoľvek iná aplikácia podpísaná rovnakým certifikátom môže vyhlásiť, že chce bežať s rovnakým ID používateľa, čo jej poskytne rovnakú úroveň prístupu k operačnému systému Android.“, vysvetľuje bezpečnostný analytik Łukasz Siewierski, ktorý upozornil na uniknuté certifikáty.
New APVI entry: platform certificates used to sign malware
Found by yours truly 🙂https://t.co/qiFMJW111A
— Łukasz (@maldr0id@infosec.exchange) (@maldr0id) November 30, 2022
Nejde len o teoretickú hrozbu
No najhoršie na tejto hrozbe je, že už bola zneužitou. Lukasz upozornil na niekoľko škodlivých aplikácií, ktoré boli podpísané uniknutými certifikátmi, ktoré patria významným hráčom na trhu so smartfónmi. Znamená to, že túto bezpečnostnú dieru stihlo už využiť vo svoj prospech viacero hackerov.
Neprehliadnite
„Ak sú aplikácie, dokonca aj tie škodlivé, podpísané rovnakým certifikátom platformy a majú priradené vysoko privilegované ID používateľa „android.uid.system“, tieto aplikácie tiež získajú prístup na úrovni systému k zariadeniu Android.“, vysvetľuje portál.
Bezpečnostný analytik rovnako zdieľal aj niekoľko príkladov podvodných aplikácií. Patria medzi ne napríklad aplikácie nižšie.
- com.russian.signato.renewis
- com.sledsdffsjkh.Search
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
- com.vantage.ectronic.cornmuni
Ktoré telefóny sú v potenciálnom ohrození?
Z analýzy certifikátov vyplynulo, že niektoré uniknuté certifikáty patria spoločnostiam ako Samsung Electronics, LG Electronics, Revoview (pozn. redakcie: výrobca tabletov) a Mediatek (pozn. redakcie: výrobca čipov). V praxi to znamená, že v potenciálnom ohrození sú všetci používatelia týchto značiek hardvéru.
Portál ďalej vysvetľuje, že mnohé z podvodných aplikácií, ktoré sa im podarilo identifikovať, slúžili ako spyware alebo na zobrazovanie reklamy v telefóne používateľa. Čo je ale na útokoch hackerov najnebezpečnejšie je, že niektoré z aplikácií boli i typu „dropper“. Ide o metódu hackerov, kedy hackeri postupne inštalujú do zariadenia ďalší škodlivý softvér bez toho, aby bola potrebná zo strany používateľa nejaká aktivita.
„Všetky dotknuté strany by mali vymeniť certifikát platformy a nahradiť ich novou sadou verejných a súkromných kľúčov.“, hovorí Łukasz Siewierski. Ďalej doplnil: „Všetky dotknuté strany boli informované o zisteniach, aby prijali nápravné opatrenia na minimalizáciu vplyvu na používateľov.“
Záverom treba uviesť, že aktuálne nie sú známe informácie, ako sa tieto podvodné aplikácie šíria, či cez obchod Play alebo z iného zdroja. Rovnako ani nevieme, ako sa certifikáty dostali do rúk útočníkov. Dobrou správe ale je, že na vzniknutý problém stihli už reagovať vývojári softvéru vrátane obchodu Google Play a problém aktívne riešia.
Komentáre