多個 Android 平台證書已洩露,現在可以被駭客和攻擊者使用。這些憑證非常重要,因為 Android OEM 裝置供應商使用它們對系統的核心應用程式進行數位簽署。如果駭客擁有該證書,他就可以使用它來簽署惡意應用程式。然後,系統將接受識別碼為 android.uid.system 的系統,並且可能具有非常高的系統權限。因此,它將能夠存取所有用戶的資料。這次洩密事件由Google官方發布,隨後由 Łukasz Siewierski 和記者 Mishaal Rahman 在 Tweeter 上轉發。
https://twitter.com/MishaalRahman/status/1598426974594433025
駭客還可以使用這些憑證將惡意應用程式冒充為官方應用程式的更新,例如三星的 Bixby 助理。
谷歌給了一些例子受損的證書和惡意軟體誰使用它們,但僅以 SHA256 哈希數據的形式。透過使用這些數據在 VirusTotal 網站上進行搜索,我們的同事電腦發出蜂鳴聲發現一些平台證書對應製造商三星電子、LG電子、Revoview和聯發科。
谷歌已經通知受影響的OEM 廠商,要求他們更改Android 平台的憑證(公鑰和私鑰輪換),進行調查以了解洩漏是如何發生的,並最大程度地減少使用其憑證簽署的應用程式數量,以避免將來發生類似事件。
被我們的同事提問電腦發出蜂鳴聲,Google希望安撫並澄清,所有相關方都已獲知結果並做出相應反應。據公司發言人表示:
「我們報告關鍵漏洞後,OEM 合作夥伴迅速實施了緩解措施。最終用戶將受到 OEM 合作夥伴實施的用戶緩解措施的保護”
但據我們的同事說電腦發出蜂鳴聲據報道,三星尚未做出改變,仍在使用洩漏的平台證書對應用程式進行數位簽章。
最後,谷歌澄清稱,Android Build Test Suite (BTS) 中已添加對受損密鑰的檢測,該套件允許創建和分析系統映像。此外,內建的 Google Play Protect 防毒軟體還可以偵測惡意軟體。據谷歌稱,沒有跡象表明惡意軟體使用該證書的證書存在或已經存在於 Play Store 應用程式商店中。不過,發行商建議用戶升級到最新版本的 Android,以獲得最佳的安全等級。
來源 : 電腦發出蜂鳴聲
