Certificados comprometidos de várias empresas usados para assinar aplicações maliciosas
Nos últimos dias, várias aplicações maliciosas contendo assinaturas de várias fabricantes OEM no ecossistema do Android foram descobertas. Estas aplicações foram assinadas digitalmente com certificados que eram pertencentes a entidades credíveis no mercado.
Todos os fabricantes de dispositivos Android usam certificados específicos para as imagens de ROM dos seus dispositivos. Isto aplica-se também às aplicações, que no caso de apps oficiais, algumas podem necessitar de ter acesso ao sistema para certas tarefas – e a assinatura dessas aplicações com o mesmo certificado que o existente na ROM permite o acesso.
No entanto, de acordo com o investigador de segurança da Google, Łukasz Siewierski, foram recentemente descobertas várias aplicações maliciosas que se encontram a usar os certificados de várias entidades OEM reconhecidas para as suas apps. Ou seja, se estas aplicações forem instaladas em dispositivos que tenham certificados válidos, podem obter acesso elevado dentro do sistema – com capacidade de aceder a dados e permissões dos mais elevados que existem dentro do Android.
Os certificados em questão dizem respeito às entidades Samsung Electronics, LG Electronics, Revoview e MediaTek. Se estas aplicações chegam a ser instaladas em sistemas onde os certificados sejam aceites e reconhecidos, estas podem obter acesso administrativo ao mesmo e proceder ao roubo de informações sensíveis.
De notar que estes certificados tendem a ser privados. Ou seja, apenas as empresas controlam os mesmos, e em nenhum momento deveriam ficar disponíveis publicamente – exatamente para prevenir casos como estes de abuso por malware. No entanto, por alguma razão, os certificados das entidades listadas acabaram por ser expostos publicamente.
As entidades afetadas foram recomendadas a criarem novos certificados para as suas imagens e aplicações, no entanto o processo de distribuir os mesmos ainda pode demorar bastante tempo, se é que chega a todos os dispositivos, tendo em conta que muitos smartphones onde os certificados se encontram já não são suportados.
Do lado da Google, a empresa afirma ter reforçado o sistema de validação de aplicações do Google Play Protect, para garantir que os certificados não são usados para fins maliciosos em dispositivos onde este sistema esteja ativo. O sistema de avaliação de imagens ROM do Build Test Suíte também foi atualizado para integrar a lista de certificados comprometidos.
De notar que, para já, não existem relatos de que as aplicações maliciosas ou os certificados tenham sido usados em apps que foram disponibilizadas pela Google Play Store. A maioria das apps foram distribuídas por sites de terceiros ou lojas externas da Google.