يعني تسريب مفتاح Android OEM أن “التحديثات” التي يتم تحميلها بشكل جانبي قد تخفي برامج ضارة خطيرة

من الجوانب الحاسمة لأمان الهواتف الذكية التي تعمل بنظام Android عملية توقيع التطبيق. إنها في الأساس طريقة لضمان أن أي تحديثات للتطبيق تأتي من المطور الأصلي ، حيث يجب أن يظل المفتاح المستخدم لتوقيع التطبيقات دائمًا خاصًا. يبدو أن عددًا من شهادات النظام الأساسي هذه من أمثال Samsung و MediaTek و LG و Revoview قد تم تسريبها ، والأسوأ من ذلك ، تم استخدامها للتوقيع على البرامج الضارة. تم الكشف عن هذا من خلال مبادرة الثغرات الأمنية لشريك Android (APVI) وينطبق فقط على تحديثات التطبيق ، وليس OTAs.

عند تسريب مفاتيح التوقيع ، يمكن للمهاجم ، نظريًا ، توقيع تطبيق ضار بمفتاح توقيع وتوزيعه كـ “تحديث” لتطبيق على هاتف شخص ما. كل ما يحتاجه الشخص هو التحميل الجانبي لتحديث من موقع تابع لجهة خارجية ، والذي يعد تجربة شائعة إلى حد ما بالنسبة للمتحمسين. في هذه الحالة ، قد يمنح المستخدم دون علمه مستوى نظام تشغيل Android من الوصول إلى البرامج الضارة ، حيث يمكن لهذه التطبيقات الضارة الاستفادة من UID المشترك لنظام Android والواجهة مع عملية نظام “android”.

“شهادة النظام الأساسي هي شهادة توقيع التطبيق المستخدمة لتوقيع تطبيق” android “على صورة النظام. يعمل تطبيق” android “مع معرف مستخدم ذي امتيازات عالية – android.uid.system – ويحمل أذونات النظام ، بما في ذلك أذونات الوصول بيانات المستخدم. يمكن لأي تطبيق آخر موقع بنفس الشهادة أن يعلن أنه يريد التشغيل بنفس معرف المستخدم ، مما يمنحه نفس مستوى الوصول إلى نظام التشغيل Android “، يوضح المراسل في APVI. هذه الشهادات خاصة بالمورد ، حيث ستكون الشهادة على جهاز Samsung مختلفة عن الشهادة الموجودة على جهاز LG ، حتى لو تم استخدامها للتوقيع على تطبيق “android”.

تم اكتشاف عينات البرامج الضارة هذه بواسطة Łukasz Siewierski ، وهو مهندس عكسي في Google. شارك Siewierski تجزئات SHA256 لكل من عينات البرامج الضارة وشهادات التوقيع الخاصة بهم ، وتمكنا من عرض هذه العينات على VirusTotal. ليس من الواضح أين تم العثور على هذه العينات ، وما إذا كانت قد تم توزيعها مسبقًا على متجر Google Play ، أو مواقع مشاركة APK مثل APKMirror ، أو في أي مكان آخر. فيما يلي قائمة بأسماء حزم البرامج الضارة الموقعة بشهادات النظام الأساسي هذه. تحديث: تقول Google أنه لم يتم اكتشاف هذا البرنامج الضار في متجر Google Play.

  • com.vantage.ectronic.cornmuni
  • com.russian.signato.renewis
  • com.sledsdffsjkh.Search
  • com.android.power
  • com.management.propaganda
  • com.sec.android.musicplayer
  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage

وجاء في التقرير أنه “تم إبلاغ جميع الأطراف المتأثرة بالنتائج واتخذت تدابير علاجية لتقليل تأثير المستخدم”. ومع ذلك ، على الأقل في حالة Samsung ، يبدو أن هذه الشهادات لا تزال قيد الاستخدام. لشهادتها المُسربة تُظهر التحديثات من اليوم يتم توزيعها مع مفاتيح التوقيع المسربة هذه.

من المثير للقلق أن إحدى عينات البرامج الضارة التي تم توقيعها بشهادة Samsung تم تقديمها لأول مرة في عام 2016. ومن غير الواضح ما إذا كانت شهادات Samsung بالتالي في أيدٍ ضارة لمدة ست سنوات. والأقل وضوحًا في هذا الوقت هو كيفية تداول هذه الشهادات في البرية وما إذا كان هناك بالفعل أي ضرر قد حدث نتيجة لذلك. يقوم الأشخاص بتحديث تطبيق التحميل الجانبي طوال الوقت ويعتمدون على نظام توقيع الشهادة للتأكد من شرعية تحديثات التطبيق هذه.

بالنسبة لما يمكن أن تفعله الشركات ، فإن أفضل طريقة للمضي قدماً هي التناوب الرئيسي. ، ويمكن للمطورين الترقية من الإصدار 2 من نظام التوقيع إلى الإصدار 3.

يتمثل الإجراء المقترح الذي قدمه المراسل بشأن APVI في أنه “يجب على جميع الأطراف المتأثرة تدوير شهادة النظام الأساسي عن طريق استبدالها بمجموعة جديدة من المفاتيح العامة والخاصة. بالإضافة إلى ذلك ، يجب عليهم إجراء تحقيق داخلي للعثور على السبب الجذري للمشكلة واتخاذ خطوات لمنع وقوع الحادث في المستقبل “.

ويخلص إلى أنه “نوصي بشدة أيضًا بتقليل عدد التطبيقات الموقعة بشهادة النظام الأساسي ، حيث سيقلل بشكل كبير من تكلفة تدوير مفاتيح النظام الأساسي في حالة حدوث حادث مماثل في المستقبل”.

عندما تواصلنا مع Samsung ، تلقينا الرد التالي من المتحدث باسم الشركة.

تأخذ Samsung أمان أجهزة Galaxy على محمل الجد. لقد أصدرنا تصحيحات أمنية منذ عام 2016 بعد أن علمنا بالمشكلة ، ولم تكن هناك حوادث أمنية معروفة بخصوص هذه الثغرة الأمنية المحتملة. نوصي دائمًا بأن يحافظ المستخدمون على تحديث أجهزتهم بآخر تحديثات البرامج.

يبدو أن الرد أعلاه يؤكد أن الشركة على علم بهذه الشهادة المسربة منذ عام 2016 ، على الرغم من أنها تدعي عدم وجود حوادث أمنية معروفة فيما يتعلق بالثغرة الأمنية. ومع ذلك ، ليس من الواضح ما الذي فعلته أيضًا لسد هذه الثغرة الأمنية ، وبالنظر إلى أن البرنامج الضار قد تم تقديمه لأول مرة إلى VirusTotal في عام 2016 ، يبدو أنه بالتأكيد في مكان ما في البرية.

لقد تواصلنا مع MediaTek و Google للتعليق وسنقوم بتحديثك عندما نتلقى ردًا.

التحديث: 2022/12/02 12:45 EST بقلم آدم كونواي

جوجل يستجيب

أعطتنا Google البيان التالي.

قام شركاء OEM على الفور بتنفيذ تدابير التخفيف بمجرد الإبلاغ عن الاختراق الرئيسي. ستتم حماية المستخدمين النهائيين من خلال إجراءات التخفيف التي يقوم بها المستخدم والتي ينفذها شركاء OEM. نفذت Google عمليات اكتشاف واسعة النطاق للبرامج الضارة في Build Test Suite ، والتي تقوم بمسح صور النظام. يكتشف Google Play Protect أيضًا البرامج الضارة. لا يوجد ما يشير إلى أن هذه البرامج الضارة موجودة أو كانت موجودة في متجر Google Play. كما هو الحال دائمًا ، ننصح المستخدمين بالتأكد من تشغيلهم لأحدث إصدار من Android.