Μεγάλη διαρροή ασφαλείας στο Android άφησε πολλές συσκευές ευάλωτες σε επικίνδυνες εφαρμογές

Μια σημαντική διαρροή ασφαλείας οδήγησε στη δημιουργία «αξιόπιστων» εφαρμογών κακόβουλου λογισμικού που μπορούν να αποκτήσουν πρόσβαση σε ολόκληρο το λειτουργικό σύστημα Android σε συσκευές από τη Samsung, την LG και άλλες.

Όπως κοινοποιήθηκε από τον υπάλληλο της Google Łukasz Siewierski (μέσω του Mishaal Rahman), η Πρωτοβουλία ευπάθειας συνεργατών Android (APVI- Android Partner Vulnerability Initiative) της Google αποκάλυψε δημόσια μια νέα ευπάθεια που επηρέασε συσκευές από τη Samsung, την LG και άλλες.

Ο πυρήνας του ζητήματος είναι ότι πολλοί κατασκευαστές Android OEM διέρρευσαν τα κλειδιά υπογραφής πλατφόρμας εκτός των αντίστοιχων εταιρειών τους. Αυτό το κλειδί χρησιμοποιείται για να διασφαλιστεί ότι η έκδοση του Android που εκτελείται στη συσκευή σας είναι νόμιμη και δημιουργήθηκε από τον κατασκευαστή. Το ίδιο κλειδί μπορεί επίσης να χρησιμοποιηθεί για την υπογραφή μεμονωμένων εφαρμογών.

Από σχεδίασης, το Android εμπιστεύεται οποιαδήποτε εφαρμογή υπογράφεται με το ίδιο κλειδί που χρησιμοποιείται για την υπογραφή του ίδιου του λειτουργικού συστήματος. Ένας κακόβουλος εισβολέας με αυτά τα κλειδιά υπογραφής εφαρμογών θα μπορεί να χρησιμοποιήσει το σύστημα «κοινόχρηστου αναγνωριστικού χρήστη» του Android για να δώσει πλήρεις άδειες σε επίπεδο συστήματος σε κακόβουλο λογισμικό σε μια επηρεαζόμενη συσκευή. Στην ουσία, όλα τα δεδομένα σε μια επηρεαζόμενη συσκευή θα μπορούσαν να είναι διαθέσιμα σε έναν εισβολέα.

Σημειωτέο, αυτή η τρύπα ασφαλείας στο Android δεν συμβαίνει μόνο κατά την εγκατάσταση μιας νέας ή άγνωστης εφαρμογής. Δεδομένου ότι αυτά τα κλειδιά πλατφόρμας που διέρρευσαν χρησιμοποιούνται επίσης σε ορισμένες περιπτώσεις για την υπογραφή κοινών εφαρμογών - συμπεριλαμβανομένης της εφαρμογής Bixby σε τουλάχιστον ορισμένα τηλέφωνα Samsung - ένας εισβολέας θα μπορούσε να προσθέσει κακόβουλο λογισμικό σε μια αξιόπιστη εφαρμογή, να υπογράψει την κακόβουλη έκδοση με το ίδιο κλειδί και το Android θα εμπιστευόταν ως «ενημέρωση». Αυτή η μέθοδος θα λειτουργούσε ανεξάρτητα από το εάν μια εφαρμογή προερχόταν αρχικά από το Play Store, το Galaxy Store ή αν εγκαθίσταται με το χέρι.

Η δημόσια αποκάλυψη της Google δεν καθορίζει ποιες συσκευές ή OEM επηρεάστηκαν, αλλά εμφανίζει τον κατακερματισμό των παραδειγμάτων αρχείων κακόβουλου λογισμικού. Κάθε ένα από τα αρχεία έχει μεταφορτωθεί στο VirusTotal, το οποίο επίσης συχνά αποκαλύπτει το όνομα της επηρεαζόμενης εταιρείας. Με αυτό, γνωρίζουμε ότι διέρρευσαν τα κλειδιά των παρακάτω εταιρειών (αν και ορισμένα κλειδιά δεν έχουν ακόμη εντοπιστεί):

• Samsung
• LG
• Mediatek
• szroco (κατασκευαστές tablet Walmart's Onn)
• Revoview

Σύμφωνα με τη σύντομη επεξήγηση του ζητήματος της Google, το πρώτο βήμα είναι για κάθε επηρεαζόμενη εταιρεία να αλλάξει τα κλειδιά υπογραφής της πλατφόρμας Android για να μην χρησιμοποιεί πλέον αυτά που έχουν διαρρεύσει. Είναι καλή πρακτική να γίνεται τακτικά ούτως ή άλλως, για να ελαχιστοποιηθεί η ζημιά από πιθανές μελλοντικές διαρροές.

Πέρα από αυτό, η Google προέτρεψε επίσης όλους τους κατασκευαστές Android να ελαχιστοποιήσουν δραστικά τη συχνότητα χρήσης του κλειδιού πλατφόρμας για την υπογραφή άλλων εφαρμογών. Μόνο μια εφαρμογή που χρειάζεται αυτό το υψηλότερο επίπεδο αδειών θα πρέπει να υπογράφεται με αυτόν τον τρόπο για να αποφευχθούν πιθανά ζητήματα ασφάλειας.

Η Google λέει ότι, από τότε που αναφέρθηκε το ζήτημα τον Μάιο του 2022, η Samsung και όλες οι άλλες επηρεαζόμενες εταιρείες έχουν ήδη «λάβει μέτρα αποκατάστασης για να ελαχιστοποιήσουν τον αντίκτυπο στους χρήστες» αυτών των μεγάλων διαρροών ασφαλείας. Δεν είναι σαφές τι ακριβώς σημαίνει αυτό, καθώς ορισμένα από τα ευάλωτα κλειδιά χρησιμοποιήθηκαν σε εφαρμογές Android από τη Samsung τις τελευταίες ημέρες, σύμφωνα με την APKMirror.

Συγκεκριμένα, ενώ η αποκάλυψη της Google αναφέρει ότι η εκμετάλλευση αναφέρθηκε τον Μάιο του 2022, ορισμένα από τα παραδείγματα κακόβουλου λογισμικού σαρώθηκαν για πρώτη φορά από το VirusTotal ήδη από το 2016. Δεν είναι ακόμη σαφές εάν αυτό σημαίνει ότι η διαρροή και οι σχετικές εκμεταλλεύσεις έχουν χρησιμοποιηθεί ενεργά σε ορισμένες συσκευές σε αυτό το διάστημα.

Σε μια δήλωση, η Google διευκρίνισε ότι οι συσκευές προστατεύονται από αυτή τη συγκεκριμένη ευπάθεια με πολλούς τρόπους, μεταξύ άλλων μέσω του Google Play Protect, τον μετριασμό της από κατασκευαστές συσκευών και πολλά άλλα. Πέρα από αυτό, αυτό το exploit δεν μπήκε στις εφαρμογές που διανέμονται μέσω του Google Play Store.

Ενώ οι λεπτομέρειες αυτής της τελευταίας διαρροής ασφαλείας Android επιβεβαιώνονται, υπάρχουν μερικά απλά βήματα που μπορείτε να ακολουθήσετε για να βεβαιωθείτε ότι η συσκευή σας παραμένει ασφαλής. Για ένα, βεβαιωθείτε ότι χρησιμοποιείτε το πιο πρόσφατο διαθέσιμο firmware για τη συσκευή σας. Εάν η συσκευή σας δεν λαμβάνει πλέον τακτικές ενημερώσεις ασφαλείας Android, συνιστούμε την αναβάθμιση σε νεότερη συσκευή το συντομότερο δυνατό.

Πέρα από αυτό, αποφύγετε την χειροκίνητη φόρτωση εφαρμογών στο τηλέφωνό σας, ακόμη και όταν ενημερώνετε μια εφαρμογή που υπάρχει ήδη στο τηλέφωνό σας. Εάν προκύψει η ανάγκη χειροκίνητης φόρτωσης μιας εφαρμογής, βεβαιωθείτε ότι εμπιστεύεστε πλήρως το αρχείο που εγκαθιστάτε.