Los fabricantes de dispositivos Android OEM utilizan certificados de plataforma, también conocidos como claves de plataforma, para certificar las imágenes ROM principales de sus dispositivos. Estas imágenes incluyen el sistema operativo Android y cualquier aplicación relacionada.
El certificado de firma de la aplicación que se usó para firmar el programa “android” que se almacenó en la imagen del sistema se conoce como certificado de plataforma. El programa “android” se ejecuta con una identificación de usuario altamente privilegiada llamada android.uid.system y conserva los derechos del sistema, incluidos los permisos para acceder a los datos del usuario. Esto se debe a que tiene la capacidad de mantener la identificación de usuario de android.uid.system.
Si las aplicaciones, incluso las maliciosas, se firman con el mismo certificado de plataforma y se les asigna la identificación de usuario “android.uid.system” altamente privilegiada, entonces estas aplicaciones también obtendrán acceso a nivel de sistema al dispositivo Android. Este acceso se puede obtener firmando la aplicación con el certificado de la plataforma.
Lukasz Siewierski, ingeniero inverso del equipo de seguridad de Android de Google, detectó un uso abusivo de las claves de la plataforma. Esta información se publicó en un informe que actualmente está disponible para el público en el rastreador de problemas de Android Partner Vulnerability Initiative (AVPI).
Siewierski descubrió muchas copias de malware firmadas con estos 10 certificados de la plataforma Android. Suministró los hashes SHA256 para cada una de las muestras, así como los certificados que se firmaron digitalmente.
No hay evidencia disponible en este momento sobre las circunstancias que llevaron a que estos certificados se usaran indebidamente para firmar malware. Se desconoce si uno o más actores de amenazas robaron los certificados, o si un empleado autorizado firmó los APK con las claves del proveedor.
Además, no hay información sobre las ubicaciones de estas muestras de malware, como si se descubrieron en Google Play Store, si se propagaron a través de tiendas de terceros o si se usaron en actividades maliciosas.
Google notificó a todos los proveedores afectados sobre el uso indebido y les dio consejos para evitar tales problemas rotando sus certificados de plataforma, investigando la infracción para determinar cómo ocurrió y limitando la cantidad de aplicaciones firmadas con sus certificados de plataforma Android.
No hay evidencia que sugiera que este código malicioso se haya distribuido alguna vez a través de Google Play Store. Siempre y sin falta, nuestro consejo estándar para los usuarios es comprobar que tienen la versión más reciente de Android.
El uso de APKMirror para buscar aplicaciones que se hayan firmado con estos certificados que podrían haberse visto comprometidas es una forma sencilla de obtener una descripción general de todas las aplicaciones de Android que se han firmado con estos certificados.
El cargo ¡Malas noticias! Los certificados de plataforma de muchos fabricantes de teléfonos han sido hackeados. Se utilizan para firmar aplicaciones de confianza en teléfonos android. Ahora estos certificados se están utilizando para certificar aplicaciones maliciosas de android apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.
Ver Fuente
No hay comentarios.:
Publicar un comentario