Шкідливі програми можуть отримати доступ до всієї операційної системи Android на пристроях Samsung, LG, Xiaomi та інших, повідомляє ініціатива Android Partner Vulnerability Initiative (APVI).
У кількох виробників обладнання Android стався витік ключів для підпису, які зазвичай використовують для підтвердження того, що версія ОС, яка працює на пристрої, є легальною. Їх також можна використовувати для підпису деяких інших програм.
Android довіряє будь-якій програмі, підписаній ключем. Зловмисник з його допомогою може використовувати систему ідентифікатора користувача Android і надавати шкідливому ПЗ дозволи на системному рівні. По суті, він може отримати доступ до усіх даних на ураженому пристрої.
Вразливість можна отримати не лише під час інсталяції нових утиліт, а й при запуску тих, що є — оскільки зловмисник може додати шкідливе програмне забезпечення до перевіреної програми, підписати його тим же ключем, і Android буде ідентифікувати це як “оновлення”. Цей метод працюватиме незалежно від того, чи програма була встановлена з Play Store, Galaxy Store або сторонніх магазинів.
Google не вказує, які пристрої чи виробники обладнання постраждали, але показує хеш файлів шкідливого програмного забезпечення. Однак кожен із файлів завантажили на VirusTotal, де розкриваються назви деяких постраждалих виробників. Таким чином, відомо, що стався витік ключів наступних компаній (хоча деякі ще не ідентифіковані):
- Samsung
- LG
- Mediatek
- szroco (виробники планшетів Walmart Onn)
- Revoview
Відповідно до короткої інструкції Google, компанії мають у першу чергу замінити ключі підпису (загалом, це потрібно робити регулярно аби мінімізувати шкоду від можливих майбутніх витоків), а також мінімізувати їх використання для підпису сторонніх програм, крім тих, що потребують найвищого рівня дозволів.
Про експлойт вперше було повідомлено у травні 2022 року — Google стверджує, що вже тоді Samsung та інші компанії “вжили заходів, щоб мінімізувати вплив на користувачів”. Однак згідно з інформацією APKMirror деякі з вразливих ключів використовувалися в Android-програмах Samsung протягом кількох останніх днів.
Також деякі виявлені приклади шкідливого програмного забезпечення були вперше проскановані VirusTotal ще у 2016 році.
У заяві Google уточнює, що пристрої захищені від цієї вразливості декількома способами, зокрема через Google Play Protect, “пом’якшення наслідків” від виробників пристроїв тощо. Крім того, цей експлойт не потрапив у програми, що поширюються через Google Play Store.
“Партнери-виробники обладнання негайно вжили заходів щодо пом’якшення наслідків, щойно ми повідомили про виток. Google запровадив широке виявлення зловмисного програмного забезпечення в Build Test Suite. Google Play Protect також виявляє зловмисне програмне забезпечення. Немає жодних ознак того, що воно є або було в магазині Google Play. Як завжди, ми радимо користувачам переконатися, що вони використовують останню версію Android”.
Пресслужба Google
Поки деталі останнього витоку безпеки Android підтверджуються, є кілька простих кроків, які можна зробити, щоб переконатися, що пристрій залишається в безпеці. По-перше, перевірте, чи ви використовуєте найновішу прошивку, доступну для пристрою. Якщо пристрій більше не отримує постійні оновлення безпеки Android, рекомендовано якомога швидше його замінити. Також бажано уникати завантаження програм зі сторонніх джерел на свій телефон, або переконатися, що ви повністю довіряєте файлу, який встановлюєте.
Джерело: 9to5google