ElDemocrata

España en español es para cualquier persona que viva en España, visite España o cualquier persona interesada en las últimas noticias, eventos y deportes en España. Descubra más ahora.

La clave de firma de la aplicación Android de Samsung se filtró y se usa para firmar malware

La clave de firma de la aplicación Android de Samsung se filtró y se usa para firmar malware

La clave de firma criptográfica de un desarrollador es uno de los pilares más importantes de la seguridad de Android. Cada vez que Android actualiza una aplicación, la clave de firma de la aplicación anterior en su teléfono debe coincidir con la clave de la actualización que está instalando. Las claves coincidentes aseguran que la actualización realmente provenga de la empresa que creó originalmente su aplicación y no sea un esquema de secuestro malicioso. Si se filtra la clave de firma de un desarrollador, cualquiera puede distribuir actualizaciones de aplicaciones maliciosas y Android estará feliz de instalarlas, pensando que son legítimas.

En Android, el proceso de actualización de la aplicación no solo se limita a las aplicaciones descargadas de App Store, sino también a las aplicaciones integradas del sistema creadas por Google, el fabricante de su dispositivo y cualquier otra aplicación integrada. Si bien las aplicaciones descargadas tienen un conjunto estricto de permisos y controles, las aplicaciones integradas de Android tienen acceso a permisos más poderosos e invasivos y no están sujetas a las restricciones habituales de Play Store (razón por la cual Facebook siempre presiona para ser una aplicación integrada). Si un desarrollador externo pierde su clave de firma, sería malo. si era Fabricante de equipos originales de Android Perdí la clave de firma de la aplicación del sistema, sería realmente malo.

¡Adivina qué pasó! Łukasz Siewierski, miembro del equipo de seguridad de Android de Google, tiene una publicación en Android Partner Issue Tracker (AVPI) que detalla Claves de certificado de plataforma filtradas que se utilizan activamente para firmar malware. La publicación es solo una lista de interruptores, pero cada uno está encendido APKMirror o googlear VirusTotal El sitio mostrará una lista de los nombres de algunas de las claves comprometidas: SamsungY el LGY el mediatech Son los grandes bateadores en la lista de interruptores filtrados, junto con algunos OEM más pequeños como revisión y Szroco, que hace Onn discos de Walmart.

Las claves de firma de estas empresas se han filtrado de alguna manera a extraños, y ahora no puedes confiar en que las aplicaciones que afirman ser de estas empresas son en realidad de ellas. Para empeorar las cosas, las «claves de certificado de plataforma» que perdieron contenían algunos permisos serios. Para citar de la publicación de AVPI:

El certificado de la plataforma es el certificado de firma de la aplicación que se usa para firmar la aplicación «android» en la imagen del sistema. La aplicación «android» se ejecuta con una identificación de usuario altamente privilegiada, android.uid.system, y tiene permisos del sistema, incluidos los permisos para acceder a los datos del usuario. Cualquier otra aplicación firmada con el mismo certificado puede declarar que quiere ejecutarse con el mismo ID de usuario, otorgándole el mismo nivel de acceso al sistema operativo Android.

Editor técnico jefe de Esper, Mishaal Rahmancomo siempre, publicado gran informacion Sobre esto en Twitter. Como él explica, hacer que una aplicación tome el mismo identificador único de Android no es un acceso de root, pero está cerca y permite que la aplicación salga de cualquier sandbox limitado que exista para las aplicaciones del sistema. Estas aplicaciones pueden comunicarse directamente con (o, en el caso de malware, espiar) otras aplicaciones a través de su teléfono. Imagina una versión más siniestra de Google Play Services y te haces una idea.