Se filtró la clave de firma de la aplicación de Android de Samsung utilizada para firmar malware

Se filtró la clave de firma de la aplicación de Android de Samsung utilizada para firmar malware

La clave de firma de cifrado de un desarrollador es uno de los pilares de la seguridad de Android. Siempre que Android actualice una aplicación, la clave de firma de la aplicación anterior en su teléfono debe coincidir con la clave de actualización que instaló. Las claves coincidentes aseguran que la actualización realmente provenga de la compañía que creó originalmente su aplicación y no sea un plan de secuestro malicioso. Si se filtrara la clave de firma de un desarrollador, cualquiera podría distribuir actualizaciones de aplicaciones maliciosas y Android las instalaría felizmente, suponiendo que fueran legítimas.

El proceso de actualización de la aplicación en Android no es solo para las aplicaciones descargadas de la tienda de aplicaciones, también puede actualizar las aplicaciones del sistema de Google, el fabricante de su dispositivo y cualquier otro paquete. Si bien las aplicaciones descargadas tienen un conjunto estricto de permisos y controles, las aplicaciones en el sistema Android tienen acceso a permisos mucho más potentes e invasivos y no están sujetas a las restricciones habituales de Play Store (razón por la cual Facebook siempre paga para ser una aplicación integrada). Si el tercero, si un desarrollador secundario alguna vez pierde su clave de firma, eso sería malo. Si ellos OEM de Android: alguna vez perdió la clave de firma de la aplicación del sistema, eso sería muy, muy malo.

¿Adivina qué pasó? Łukasz Siewierski, miembro del equipo de seguridad de Android de Google, tiene una publicación sobre el rastreador de problemas de la Iniciativa de vulnerabilidad de socios de Android (AVPI). fuga de clave de certificado de plataforma que se utilizan activamente para firmar malware. Un registro es solo una lista de claves, pero cada una pasa por APKMirror: o Google VirusTotal: el sitio nombrará algunas claves comprometidas. Samsung:, LG:y: Mediatec: en la lista de claves filtradas están los grandes bateadores, así como algunos OEM más pequeños como Revisión: y Szroco, que constituye Tabletas Onn de Walmart.

READ  TikTok cayó, և la gente reunió tweets en memes

Las claves de firma de estas empresas se filtraron de alguna manera a personas externas, y ahora no puede confiar en que las aplicaciones que afirman ser de estas empresas son realmente de ellas. Para empeorar las cosas, las «claves de certificado de plataforma» que perdieron tienen algunos permisos serios. Para citar la publicación de AVPI:

El certificado de la plataforma es el certificado de firma de la aplicación que se utiliza para firmar la aplicación de Android en la imagen del sistema. La aplicación de Android se ejecuta con el ID de usuario altamente privilegiado android.uid.system y tiene permisos del sistema, incluidos los permisos para acceder a los datos del usuario. Cualquier otra aplicación firmada con el mismo certificado puede afirmar que se ejecuta con el mismo ID de usuario, lo que le otorga el mismo nivel de acceso al sistema operativo Android.

Mishaal Rahman, editor técnico sénior de Espercomo siempre publicado gran informacion sobre esto en Twitter. Como él explica, tener una aplicación que toma el mismo UID que el sistema Android no es exactamente un acceso de root, pero está cerca y permite que la aplicación salga del entorno limitado que existe para las aplicaciones del sistema. Estas aplicaciones pueden comunicarse directamente con (o en el caso de malware, espiar) otras aplicaciones en su teléfono. Imagina una versión más siniestra de Google Play Services y te harás una idea.

Check Also

Samsung anuncia el primer evento Galaxy Unpacked en Corea del Sur

Samsung anuncia el primer evento Galaxy Unpacked en Corea del Sur

Última actualización: 25 de julio de 2023 06:17 UTC+02:00 Estamos a solo unos días del …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *