La clave de firma criptográfica de un desarrollador es uno de los pilares más importantes de la seguridad de Android. Cada vez que Android actualiza una aplicación, la clave de firma de la aplicación anterior en su teléfono debe coincidir con la clave de la actualización que está instalando. Las claves coincidentes aseguran que la actualización realmente provenga de la empresa que creó originalmente su aplicación y no sea un esquema de secuestro malicioso. Si se filtra la clave de firma de un desarrollador, cualquiera puede distribuir actualizaciones de aplicaciones maliciosas y Android estará feliz de instalarlas, pensando que son legítimas.
En Android, el proceso de actualización de la aplicación no solo se limita a las aplicaciones descargadas de App Store, sino también a las aplicaciones integradas del sistema creadas por Google, el fabricante de su dispositivo y cualquier otra aplicación integrada. Si bien las aplicaciones descargadas tienen un conjunto estricto de permisos y controles, las aplicaciones integradas de Android tienen acceso a permisos más poderosos e invasivos y no están sujetas a las restricciones habituales de Play Store (razón por la cual Facebook siempre presiona para ser una aplicación integrada). Si un desarrollador externo pierde su clave de firma, sería malo. si era Fabricante de equipos originales de Android Perdí la clave de firma de la aplicación del sistema, sería realmente malo.
¡Adivina qué pasó! Łukasz Siewierski, miembro del equipo de seguridad de Android de Google, tiene una publicación en Android Partner Issue Tracker (AVPI) que detalla Claves de certificado de plataforma filtradas que se utilizan activamente para firmar malware. La publicación es solo una lista de interruptores, pero cada uno está encendido APKMirror o googlear VirusTotal El sitio mostrará una lista de los nombres de algunas de las claves comprometidas: SamsungY el LGY el mediatech Son los grandes bateadores en la lista de interruptores filtrados, junto con algunos OEM más pequeños como revisión y Szroco, que hace Onn discos de Walmart.
Las claves de firma de estas empresas se han filtrado de alguna manera a extraños, y ahora no puedes confiar en que las aplicaciones que afirman ser de estas empresas son en realidad de ellas. Para empeorar las cosas, las «claves de certificado de plataforma» que perdieron contenían algunos permisos serios. Para citar de la publicación de AVPI:
El certificado de la plataforma es el certificado de firma de la aplicación que se usa para firmar la aplicación «android» en la imagen del sistema. La aplicación «android» se ejecuta con una identificación de usuario altamente privilegiada, android.uid.system, y tiene permisos del sistema, incluidos los permisos para acceder a los datos del usuario. Cualquier otra aplicación firmada con el mismo certificado puede declarar que quiere ejecutarse con el mismo ID de usuario, otorgándole el mismo nivel de acceso al sistema operativo Android.
«Pionero certificado de Internet. Propenso a ataques de apatía. Gurú de la Web. Comunicador. Lector sutilmente encantador».
More Stories
Vea cómo se compara la actualización de próxima generación de Fallout 4 con la versión anterior
Obtenga dos cargadores y cables rápidos Anker USB-C por solo $ 13 con Amazon Prime
Esto es lo que puede esperar del evento Let Loose.