La clé de signature d'application Android de Samsung a été divulguée et est utilisée pour signer des logiciels malveillants

La clé de signature cryptographique d’un développeur est l’un des principaux piliers de la sécurité Android. Chaque fois qu’Android met à jour une application, la clé de signature de l’ancienne application sur votre téléphone doit correspondre à la clé de la mise à jour que vous installez. Les clés correspondantes garantissent que la mise à jour provient bien de la société qui a initialement créé votre application et qu’il ne s’agit pas d’un schéma de piratage malveillant. Si la clé de signature d’un développeur devait fuir, n’importe qui pourrait distribuer des mises à jour d’applications malveillantes et Android les installerait avec plaisir, pensant qu’elles sont légitimes.

Sur Android, le processus de mise à jour des applications ne concerne pas uniquement les applications téléchargées à partir d’un magasin d’applications, vous pouvez également mettre à jour les applications intégrées au système créées par Google, le fabricant de votre appareil et toute autre application intégrée. Alors que les applications téléchargées ont un ensemble strict d’autorisations et de contrôles, les applications système Android intégrées ont accès à des autorisations beaucoup plus puissantes et invasives et ne sont pas soumises aux limitations habituelles du Play Store (c’est pourquoi Facebook paie toujours pour être une application intégrée ). ). Si un développeur tiers perdait votre clé de signature, ce serait mauvais. Si une FEO Android jamais perdu la clé de signature de l’application système, ce serait très, très mauvais.

Devinez ce qui s’est passé ! Łukasz Siewierski, membre de l’équipe de sécurité Android de Google, a publié un article sur l’outil de suivi des problèmes de l’Android Partner Vulnerability Initiative (AVPI) clés de certificat de plate-forme divulguées qui sont activement utilisés pour signer des logiciels malveillants. Le message est juste une liste des clés, mais en exécutant chacune d’elles APKMiroir ou Google VirusTotal le site mettra des noms sur certaines des clés compromises : Samsung, LGOui mediatek sont les gros frappeurs sur la liste des clés divulguées, ainsi que certains équipementiers plus petits comme révision et Szroco, qui fait Tablettes Walmart Onn.

Ces entreprises ont d’une manière ou d’une autre divulgué vos clés de signature à des étrangers, et maintenant vous ne pouvez pas croire que les applications prétendant provenir de ces entreprises proviennent vraiment d’elles. Pour aggraver les choses, les “clés de certificat de plate-forme” qu’ils ont perdues ont des autorisations sérieuses. Pour citer la publication AVPI :

Un certificat de plate-forme est le certificat de signature d’application utilisé pour signer l’application “android” dans l’image système. L’application “android” s’exécute avec un ID utilisateur hautement privilégié, android.uid.system, et dispose d’autorisations système, y compris des autorisations d’accès aux données utilisateur. Toute autre application signée avec le même certificat peut déclarer qu’elle veut s’exécuter avec le même ID utilisateur, lui donnant le même niveau d’accès au système d’exploitation Android.

Mishaal Rahman, rédacteur technique principal d’Espercomme toujours, a publié excellentes informations à ce sujet sur Twitter. Comme il l’explique, faire en sorte qu’une application adopte le même UID que le système Android n’est pas un accès root, mais il est proche et permet à une application de sortir de tout bac à sable limité qui existe pour les applications système. Ces applications peuvent communiquer directement avec (ou, dans le cas de logiciels malveillants, espionner) d’autres applications sur votre téléphone. Imaginez une version plus diabolique des services Google Play et vous obtenez l’image.