A (rossz) hírt a Google munkatársa osztotta meg: a Google Android Partner Vulnerability Initative (APVI) hozta nyilvánosságra azt a régóta fennálló sebezhetőséget, amely miatt sok (tíz)millió androidos felhasználó kerülhet veszélybe, tekintettel arra, hogy a probléma elsősorban a Samsung és az LG telefonjait érinti.

New APVI entry: platform certificates used to sign malware

Found by yours truly :)https://t.co/qiFMJW111A

— Łukasz (@maldr0id@infosec.exchange) (@maldr0id) November 30, 2022

Hackerek szivárogtattak ki úgynevezett platform-aláíró kulcsokat: ezeket több androidos gyártó is használja, és arra szolgálnak, hogy garantálják, hogy a telefonon futó alkalmazások, illetve az Android rendszer verziója is legitim. Az Androidot – magyarázza a 9to5Google – úgy tervezték, hogy megbízzon minden olyan alkalmazásban, amely ugyanazzal a kulccsal van aláírva, mint maga az operációs rendszer.

Ha egy rosszindulatú támadó megszerez egy ilyen aláírókulcsot, az Android „megosztott felhasználói azonosító” rendszerét használhatja arra, hogy teljes, rendszerszintű engedélyt adjon a rosszindulatú programoknak az érintett eszközön. Lényegében az érintett eszközön lévő összes adat elérhető lehet a támadó számára, mintha csak odaadnánk a lakáskulcsunkat egy tolvajnak. Némi öröm az ürömben: a Play Store Protect rendszer potenciálisan károsnak minősítheti a kiszivárgott kulcsokkal aláírt alkalmazásokat.

A Google-nek már hónapokkal ezelőtt jelentették ezt a sebezhetőséget, és a keresőóriás szerint az érintett vállalatok már „helyreállítási intézkedéseket hoztak a felhasználókra gyakorolt hatás minimalizálása érdekében". Ennek ellenére az APK Mirror a közelmúltban találkozott néhány sebezhető aláírókulccsal a Samsung Android-alkalmazásaiban. A Google szóvivője szerint egyébként nincs arra utaló jel, hogy a Google Play áruház is érintett (azaz harmadik fél alkalmazásboltjaiból letöltött appokról lehet szó), illetve azt tanácsolják a felhasználóknak, hogy mindig az Android legújabb verzióját használják. Amennyiben pedig már nem lehet frissíteni a telefont, vásároljanak egy újabb modellt.

Az érintett gyártóknak pedig azt javasolja a Google, hogy cseréljék le a jelenleg használt aláíró kulcsokat, és hagyják abba a kiszivárgott kulcsok használatát. A vállalatok indítsanak vizsgálatot annak kiderítésére, hogyan szivárogtak ki a kulcsok. Remélhetőleg ez megakadályozza, hogy a jövőben is megismétlődhessék hasonló eset.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.