大規模なセキュリティ漏洩により、Samsung、LG、その他の企業が攻撃を受けやすくなる

Android の大規模なセキュリティ漏洩により、ハッカーが Samsung、LG、Mediatek などのデバイス上の Android オペレーティング システム全体にシステム レベルでアクセスできるようにする「信頼できる」マルウェア アプリが作成され、攻撃を受けやすくなりました。

Google の Android セキュリティ チームのリバース エンジニア、ukasz Siewierski によって発見されました (経由)ミシャール・ラーマン)、この問題は Android Partner Vulnerability Initiative (AVPI) 問題トラッカーで現在公開されているレポートで共有されています。


Androidのセキュリティリーク

Android デバイスの複数の相手先ブランド製造業者 (OEM) のプラットフォーム署名キー、つまりプラットフォーム証明書が、それぞれの企業の外部に漏洩しました。これらのプラットフォーム キーは、「Android」アプリの信頼性を検証することを目的としており、個々のアプリにサインインするためにも使用できます。

「プラットフォーム証明書は、システム イメージ上の「android」アプリケーションに署名するために使用されるアプリケーション署名証明書です。 「アンドロイド」アプリケーションは、高度な特権を持つユーザー ID (android.uid.system) で実行され、ユーザー データへのアクセス権限を含むシステム権限を保持しています」と Google 記者は説明します。

「同じ証明書で署名された他のアプリケーションは、同じユーザー ID で実行することを宣言し、Android オペレーティング システムへの同じレベルのアクセスを与えることができます。」


漏洩による問題

複数の Android OEM のキーが悪意のあるハッカーに利用可能になったため、これらのアプリ署名キーを使用してスマートフォンにマルウェアを簡単にインストールし、マルウェア プログラムにシステムへの最高レベルのアクセスを提供し、ほぼ無制限のアクセスを可能にする可能性があることを意味します。ユーザーデータに。

この Android の脆弱性は、新しいアプリや未知のアプリだけでなく、システム アプリによっても引き起こされます。これらの漏洩したプラットフォーム キーにより、人々は同じキーを使用して一般的なアプリ (Samsung の Bixby など) に署名できるようになるからです。

さらに、ハッカーは信頼できるアプリにマルウェアを追加し、悪意のあるバージョンに同じキーで署名して本物に見せかけ、Android がそれを「アップデート」として信頼できるようにする可能性があります。

これは信頼できるアプリであるため、ユーザーは更新が必要であると認識し、何も考えずに更新ボタンをクリックする可能性があります。


リークに対する Google の対応

Google はこの問題を公表しましたが、どのデバイスや OEM が漏洩によって最も大きな影響を受けたかについては情報を提供していません。ユーザーに同じことを認識してもらうために、検索大手はマルウェア ファイルの例のハッシュを VirusTotal に投稿しました。

VirusTotal にアップロードされた悪用されたプラットフォーム キーの一部に基づいて、それらが Samsung、LG、MediaTek、Revoview、および Walmart の Onn タブレットを製造する szroco に属していることが明らかになりました。

影響を受けるすべてのベンダーは、プラットフォーム証明書を新しい公開鍵と秘密鍵のセットに置き換えてローテーションするよう Google から通知を受けています。また、問題の根本原因を特定するために内部調査を実施し、将来のインシデントを防止するための措置を講じるよう勧告されました。

「また、プラットフォーム証明書で署名されたアプリケーションの数を最小限に抑えることを強くお勧めします。これにより、将来同様のインシデントが発生した場合にプラットフォームキーをローテーションするコストが大幅に削減されます」とGoogleは付け加えた。

Google の完全な開示によると、この脆弱性については 2022 年 5 月にすべての OEM に通知されており、すでに修正されており、現在はレポートのみが公開されています。

そのため、サムスンや他のスマートフォンブランドはすでに「ユーザーへの影響を最小限に抑えるための改善策を講じている」。しかし、APKMirrorによると、流出したプラットフォームキーの一部はここ数日間、サムスンによるAndroidアプリのデジタル署名に依然として使用されていたという。

「私たちが主要な侵害を報告すると、OEM パートナーはすぐに緩和策を実施しました。エンド ユーザーは、OEM パートナーによって実装されるユーザー軽減策によって保護されます。 Google は、システム イメージをスキャンする Build Test Suite でマルウェアの広範な検出を実装しました」と Google の広報担当者は述べています。

「Google Play プロテクトもマルウェアを検出します。このマルウェアが Google Play ストアに存在する、または存在していたという兆候はありません。いつものように、最新バージョンの Android を実行していることを確認するようユーザーにアドバイスします。」