Os certificados de vários OEMs do Android tornaram-se públicos recentemente como resultado de uma violação de segurança significativa. Milhões de smartphones Android em todo o mundo agora estão vulneráveis a malware devido a esse problema de segurança.
Pesquisadores de segurança alertaram sobre o desenvolvimento de aplicativos maliciosos que podem acessar sistemas operacionais Android inteiros como resultado de um vazamento de segurança significativo. Um engenheiro de malware que trabalha para o Google, Lukasz Siewierski, relatou o vazamento.
Vários OEMs do Android, incluindo Samsung, LG e MediaTek, tiveram seus certificados de assinatura de aplicativos vazados de acordo com a equipe de segurança do Android do Google, tornando simples para hackers instalarem aplicativos maliciosos em dispositivos.
A assinatura do aplicativo é uma unidade crítica de segurança do smartphone Android. Já que a chave em uso para assinar apps deve sempre ser mantida em segredo. Esta é simplesmente uma técnica para garantir que as atualizações do aplicativo sejam originárias do criador original.
Android.uid.system é um ID de usuário altamente privilegiado usado por aplicativos assinados com este certificado. Este último tem acesso aos dados do usuário, bem como a outros direitos do sistema. Com o mesmo nível de acesso ao sistema operacional Android, qualquer outro aplicativo certificado com o mesmo certificado pode anunciar que deseja executar com o mesmo ID de usuário.
A questão é que vários desses certificados da LG, Samsung e MediaTek parecem ter sido comprometidos e, pior, foram usados para assinar softwares maliciosos.
Sendo assim, um hacker que possui uma chave privada pode infectar aplicativos populares com malware. Independentemente de onde o software veio.
Pior ainda, os OEMs afetados se esqueceram de trocar as chaves comprometidas por novas. E não conseguiu remover os comprometidos. Em vez disso, eles continuaram a usá-los. A Samsung, por outro lado, entregou recentemente atualizações de aplicativos que compartilhavam a mesma chave.
No entanto, o Google descobriu o problema pela primeira vez em maio de 2022. Isso sugere que o malware pode ter sido injetado em aplicativos legítimos da Samsung por hackers.
Fonte: Gizchina