Компания Google в рамках инициативы APVI раскрыла новую уязвимость, затрагивающую устройства от Samsung, LG, MediaTek и других вендоров. Причиной стали попавшие в открытый доступ сертификаты (ключи) для подписи системных Android-приложений ряда OEM-производителей.
Вышеупомянутые ключи используется для проверки оригинальности версии Android и того, что она была создана непосредственно производителем, а не кем-то со стороны. Но они же могут использоваться и для подписи отдельных приложений, чтобы система автоматически считала такие программы безопасными и надёжными. Следовательно, злоумышленник может предоставить вредоносной программе все разрешения на системном уровне, получив полный доступ к данным на устройстве.
Проблему усугубляет и тот факт, что злоумышленники с помощью этих сертификатов могут модифицировать существующие приложения OEM-производителей. В качестве примера приводится программа виртуального ассистента Bixby от Samsung, поддельная версия которой может выдавать себя за настоящую — со всему привилегиями. И не важно, было ли приложение загружено из Google Play, Galaxy Store или любого другого источника.
Google публично не уточняет, какие устройства или OEM-производители были затронуты, но известно, что часть скомпрометированных сертификатов принадлежат Samsung, LG, Revoview и MediaTek. Сейчас компании, чьи ключи были украдены, должны в экстренном порядке заменить их на новые. Google также призвала всех производителей Android-устройств сократить до минимума использования этих сертификатов и применять только к приложениям, для которых действительно необходим самый высокий уровень разрешений. Компания также рекомендует регулярно менять сертификаты, чтобы минимизировать ущерб от подобных утечек в будущем.
Отдельно отмечается, что система защиты Google Play Protect уже обновлена и способна обнаружить скомпрометированные этими сертификатами приложения.
