Вредоносные программы могут получить доступ ко всей операционной системе Android на устройствах Samsung, LG, Xiaomi и других, сообщает инициатива Android Partner Vulnerability Initiative (APVI).
У нескольких производителей оборудования Android произошла утечка ключей для подписи, обычно используемых для подтверждения того, что версия ОС, работающая на устройстве, является легальной. Их можно использовать для подписи и некоторых других программ.
Android доверяет любому приложению, подписанному ключом. Злоумышленник с его помощью может использовать систему идентификатора пользователя Android и предоставлять вредоносному ПО разрешения на системном уровне. По сути он может получить доступ ко всем данным на пораженном устройстве.
Уязвимость можно получить не только при инсталляции новых утилит, но и при запуске имеющихся — поскольку злоумышленник может добавить вредоносное программное обеспечение в проверенную программу, подписать его тем же ключом, и Android будет идентифицировать это как «обновление». Этот метод будет работать независимо от того, была ли программа установлена из Play Store, Galaxy Store или сторонних магазинов.
Курс Full Stack розробка Навчайтесь за вільним графіком, щоб стати універсальним фахівцем зі знанням Back-end та Front-end. Заробляйте $1300 на місяць РЕЄСТРУЙТЕСЯ!
Google не указывает, какие устройства или изготовители оборудования пострадали, но показывает хеш файлов вредоносного программного обеспечения. Однако каждый из файлов был загружен на VirusTotal, где раскрываются названия некоторых пострадавших производителей. Таким образом, известно, что произошла утечка ключей следующих компаний (хотя некоторые еще не идентифицированы):
- Samsung
- LG
- Mediatek
- szroco (производители планшетов Walmart Onn)
- Revoview
Согласно краткой инструкции Google, компании должны в первую очередь заменить ключи подписи (в целом, это нужно делать регулярно, чтобы уменьшить ущерб от возможных будущих утечек), а также минимизировать их использование для подписи отдельных программ, кроме требующих наивысшего уровня разрешений.
Об эксплойте впервые было сообщено в мае 2022 года — Google утверждает, что уже тогда Samsung и другие компании «приняли меры, чтобы минимизировать влияние на пользователей». Однако согласно информации APKMirror, некоторые из уязвимых ключей использовались в Android-программах Samsung в течение нескольких последних дней.
Также некоторые выявленные примеры вредоносного ПО были впервые просканированы VirusTotal еще в 2016 году.
В заявлении Google уточняет, что устройства защищены от этой уязвимости несколькими способами, в частности через Google Play Protect, «смягчение последствий» от производителей устройств и т.д. Кроме того, этот эксплойт не попал в приложения, распространяемые через Google Play Store.
«Партнеры-производители оборудования немедленно приняли меры по смягчению последствий, как только мы сообщили об утечке. Google ввел широкое обнаружение вредоносного программного обеспечения в Build Test Suite. Google Play Protect также обнаруживает вредоносное программное обеспечение. Нет никаких признаков того, что оно есть или было в магазине Google Play. Как всегда, мы рекомендуем пользователям убедиться, что они используют последнюю версию Android».
Пресс-служба Google
Пока детали последней утечки безопасности Android подтверждаются, есть несколько простых шагов, которые можно предпринять, чтобы убедиться, что устройство остается в безопасности. Во-первых, проверьте, используете ли вы новейшую прошивку, доступную для устройства. Если устройство не получает постоянных обновлений безопасности Android, рекомендуется как можно быстрее его заменить. Также желательно избегать установки программ из посторонних источников на свой телефон, или убедитесь, что вы полностью доверяете файлу, который собираетесь установить.
Источник: 9to5google
