Πολλά από τα certificates που χρησιμοποιούν οι πωλητές συσκευών Android OEM για την ψηφιακή υπογραφή των βασικών εφαρμογών του συστήματός τους έχουν επίσης χρησιμοποιηθεί για την υπογραφή κακόβουλων εφαρμογών Android.
Οι κατασκευαστές συσκευών Android χρησιμοποιούν certificates πλατφόρμας, ή κλειδιά, για να υπογράφουν τις εικόνες ROM που περιέχουν εφαρμογές Android και το λειτουργικό σύστημα.
- Εάν μια εφαρμογή, ακόμη και κακόβουλη, υπογραφεί με το ίδιο πιστοποιητικό πλατφόρμας και της ανατεθεί το ιδιαίτερα προνομιακό αναγνωριστικό χρήστη ‘android.uid.system‘, θα αποκτήσει επίσης πρόσβαση σε επίπεδο συστήματος στη συσκευή Android.
Με αυτά τα δικαιώματα, οι εφαρμογές μπορούν να αλληλεπιδρούν με κλήσεις, να εγκαθιστούν και να διαγράφουν πακέτα, να συλλέγουν πληροφορίες για τη συσκευή και να εκτελούν άλλες εξαιρετικά ευαίσθητες ενέργειες.
Μια δημόσια πλέον αναφορά στην πρωτοβουλία εντοπισμού προβλημάτων Android Partner Vulnerability Initiative (AVPI) μοιράστηκε αυτή τη καταχρηστική χρήση των κλειδιών πλατφόρμας που ανακαλύφθηκε από τον Łukasz Siewierski, έναν Reverse Engineer στην ομάδα ασφαλείας Android της Google.
Μια αναζήτηση στο VirusTotal ανακάλυψε ότι ορισμένα από τα πιστοποιητικά που σχετίζονται με τις πλατφόρμες που χρησιμοποιούνται καταχρηστικά ανήκουν στις Samsung Electronics, LG Electronics, Revoview και Mediatek.
Προς το παρόν δεν μπορούμε να προσδιορίσουμε σε ποιον ανήκουν τα άλλα certificates.
Το κακόβουλο λογισμικό που χρησιμοποιεί τα Android certificates για έλεγχο ταυτότητας περιλαμβάνει ορισμένα όπως HiddenAd trojans, information stealers, Metasploit και malware droppers. Αυτό το κακόβουλο λογισμικό επιτρέπει στους επιτιθέμενους να παραδίδουν πρόσθετα ωφέλιμα φορτία σε συσκευές που έχουν παραβιαστεί.
- Η Google επικοινώνησε με όλους τους προμηθευτές που επηρεάστηκαν από την κατάχρηση και τους συνέστησε να αλλάξουν τα πιστοποιητικά της πλατφόρμας τους, να διερευνήσουν τη διαρροή για να εντοπίσουν πώς συνέβη και να διατηρήσουν τον αριθμό των εφαρμογών που υπογράφονται με τα Android certificates σε χαμηλά επίπεδα για να αποφύγουν μελλοντικά προβλήματα.
Η Google ενημέρωσε όλα τα μέρη για το πρόβλημα και συνέστησε λύσεις, αλλά φαίνεται ότι δεν έχουν ενεργήσει όλες οι εταιρείες σύμφωνα με τις συμβουλές της εταιρείας. Στην περίπτωση της Samsung, εξακολουθεί να χρησιμοποιεί πιστοποιητικά πλατφόρμας που έχουν διαρρεύσει για την υπογραφή εφαρμογών.
Το κακόβουλο λογισμικό Android είναι ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί για να στοχεύει συσκευές Android. Οι συσκευές αυτές είναι ιδιαίτερα ευάλωτες σε malware λόγω της φύσης τους ως ανοικτού κώδικα και του γεγονότος ότι μπορούν εύκολα να γίνουν root. Το κακόβουλο λογισμικό μπορεί να χρησιμοποιηθεί για να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης και αριθμούς πιστωτικών καρτών, ή μπορεί να χρησιμοποιηθεί για να προκαλέσει ζημιά στη συσκευή ή στα δεδομένα της.
Υπάρχουν πολλοί διαφορετικοί τύποι κακόβουλου λογισμικού Android και δημιουργούνται συνεχώς νέα στελέχη.
