La clave de firma de cifrado de un desarrollador es uno de los pilares de la seguridad de Android. Siempre que Android actualice una aplicación, la clave de firma de la aplicación anterior en su teléfono debe coincidir con la clave de actualización que instaló. Las claves coincidentes aseguran que la actualización realmente provenga de la compañía que creó originalmente su aplicación y no sea un plan de secuestro malicioso. Si se filtrara la clave de firma de un desarrollador, cualquiera podría distribuir actualizaciones de aplicaciones maliciosas y Android las instalaría felizmente, suponiendo que fueran legítimas.
El proceso de actualización de la aplicación en Android no es solo para las aplicaciones descargadas de la tienda de aplicaciones, también puede actualizar las aplicaciones del sistema de Google, el fabricante de su dispositivo y cualquier otro paquete. Si bien las aplicaciones descargadas tienen un conjunto estricto de permisos y controles, las aplicaciones en el sistema Android tienen acceso a permisos mucho más potentes e invasivos y no están sujetas a las restricciones habituales de Play Store (razón por la cual Facebook siempre paga para ser una aplicación integrada). Si el tercero, si un desarrollador secundario alguna vez pierde su clave de firma, eso sería malo. Si ellos OEM de Android: alguna vez perdió la clave de firma de la aplicación del sistema, eso sería muy, muy malo.
¿Adivina qué pasó? Łukasz Siewierski, miembro del equipo de seguridad de Android de Google, tiene una publicación sobre el rastreador de problemas de la Iniciativa de vulnerabilidad de socios de Android (AVPI). fuga de clave de certificado de plataforma que se utilizan activamente para firmar malware. Un registro es solo una lista de claves, pero cada una pasa por APKMirror: o Google VirusTotal: el sitio nombrará algunas claves comprometidas. Samsung:, LG:y: Mediatec: en la lista de claves filtradas están los grandes bateadores, así como algunos OEM más pequeños como Revisión: y Szroco, que constituye Tabletas Onn de Walmart.
Las claves de firma de estas empresas se filtraron de alguna manera a personas externas, y ahora no puede confiar en que las aplicaciones que afirman ser de estas empresas son realmente de ellas. Para empeorar las cosas, las «claves de certificado de plataforma» que perdieron tienen algunos permisos serios. Para citar la publicación de AVPI:
El certificado de la plataforma es el certificado de firma de la aplicación que se utiliza para firmar la aplicación de Android en la imagen del sistema. La aplicación de Android se ejecuta con el ID de usuario altamente privilegiado android.uid.system y tiene permisos del sistema, incluidos los permisos para acceder a los datos del usuario. Cualquier otra aplicación firmada con el mismo certificado puede afirmar que se ejecuta con el mismo ID de usuario, lo que le otorga el mismo nivel de acceso al sistema operativo Android.
Beer ninja. Internet maven. Music buff. Wannabe web evangelist. Analista. Introvertido