多个 Android 平台证书已被泄露,现在可以被黑客和攻击者使用。这些证书非常重要,因为 Android OEM 设备供应商使用它们对系统的核心应用程序进行数字签名。如果黑客拥有该证书,他就可以使用它来签署恶意应用程序。然后,系统将接受标识符为 android.uid.system 的系统,并且可能具有非常高的系统权限。因此,它将能够访问所有用户的数据。此次泄密事件由谷歌官方发布,随后由 Łukasz Siewierski 和记者 Mishaal Rahman 在 Tweeter 上转发。
https://twitter.com/MishaalRahman/status/1598426974594433025
黑客还可以使用这些证书将恶意应用程序冒充为官方应用程序的更新,例如三星的 Bixby 助手。
谷歌给了一些例子受损的证书和恶意软件谁使用它们,但仅以 SHA256 哈希数据的形式。通过使用这些数据在 VirusTotal 网站上进行搜索,我们的同事电脑发出蜂鸣声发现一些平台证书对应制造商三星电子、LG电子、Revoview和联发科。
谷歌已经通知受影响的 OEM 厂商,要求他们更改 Android 平台的证书(公钥和私钥轮换),进行调查以了解泄漏是如何发生的,并最大程度地减少使用其证书签名的应用程序数量,以避免将来发生类似事件。
被我们的同事提问电脑发出蜂鸣声,谷歌希望安抚并澄清,所有相关方都已获知结果并做出相应反应。据公司发言人称:
“我们报告关键漏洞后,OEM 合作伙伴迅速实施了缓解措施。最终用户将受到 OEM 合作伙伴实施的用户缓解措施的保护”
但据我们的同事说电脑发出蜂鸣声据报道,三星尚未做出改变,仍在使用泄露的平台证书对应用程序进行数字签名。
最后,谷歌澄清称,Android Build Test Suite (BTS) 中已添加对受损密钥的检测,该套件允许创建和分析系统映像。此外,内置的 Google Play Protect 防病毒软件还可以检测恶意软件。据谷歌称,没有迹象表明恶意软件使用该证书的证书存在或已经存在于 Play Store 应用程序商店中。不过,发行商建议用户升级到最新版本的 Android,以获得最佳的安全级别。
来源 : 电脑发出蜂鸣声
