Büyük bir güvenlik sızıntısının ardından, dünyanın en büyük Android akıllı telefon üreticilerinden bazılarının cihazları, işletim sistemlerinin güvenilir olarak değerlendirdiği kötü amaçlı uygulamalara karşı savunmasızdır.
Haber, Google’ın Android İş Ortağı Güvenlik Açığı Girişimi’nden (APVI) Łukasz Siewierski’den geliyor. kamuya açıklanmış Kasım 2022’deki güvenlik açığı.
tarafından belirtildiği gibi 9to5Google (yeni sekmede açılır)Siewierski’nin açıklaması, hangi büyük Android üreticilerinin platform imzalama anahtarlarının sızdırıldığını doğrudan ortaya koymuyor, ancak etkilenen bazı dosyaların virüs taramaları, Samsung, LG, Xiaomi, Mediatech, szroco ve Revoview cihazlarının etkilendiğini doğruladı, ancak bu bir gelişmekte olan ve eksik liste.
Güvenilir uygulamaları kötüye kullanma
Bulut platformu Esper’in Teknik Editörü Mishaal Rahman’dan alıntı yapacak olursak, “Bu kötü. Çok, çok kötü.”
Güvenlik açığı, tehdit aktörlerinin sistem düzeyinde ayrıcalıklara sahip kötü amaçlı uygulamalar oluşturmasına ve hatta kötü amaçlı kodu önceden var olan, kötü amaçlı olmayan ve güvenilir Android uygulamalarına entegre etmesine olanak tanıyor. Ve bunun nedeni platform imzalama anahtarları.
Platform imzalama anahtarı, çalışan işletim sisteminin meşru olduğundan emin olmak için uç noktanın kullandığı bir öğedir. Bir cihaz üreticisinin güvenli ve kötü amaçlı yazılım içermediğini doğruladığı platform imzalı uygulamalar oluşturmak için kullanılırlar.
Bir tehdit aktörü bu anahtarları ele geçirirse, tam sistem erişimi olan kötü amaçlı bir uygulama oluşturmak için Android’in “paylaşılan kullanıcı kimliği” sistemini kullanabilir.
Daha da kötüsü, bu şekilde kötüye kullanılabilenler yalnızca yeni oluşturulmuş uygulamalar değildir. Halihazırda yüklenmiş uygulamaların yine de düzenli olarak imzalanması gerekir, bu da tehdit aktörlerinin kötü amaçlı yazılımları güvenilir uygulamalara kısa sürede yandan yükleyebileceği anlamına gelir.
İstifa ettikten sonra, Android’in sorunlu olarak görmeyeceği basit bir uygulama güncellemesi, bir cihaza bulaşmak için yeterli olacaktır.
Sorun ilk olarak Mayıs 2022’de Google tarafından tespit edildi ve şirket, etkilenen tüm üreticilerin “kullanıcı etkisini doğrulamak için düzeltme önlemleri” aldığını iddia etse de daha fazla ayrıntı verilmedi.
Bu önlemlerin işe yarayıp yaramadığı henüz belli değil. 9to5Google Ayrıca, savunmasız anahtarlardan bazılarının, bu yazı yazılırken son birkaç gün içinde Samsung’un Android uygulamalarında kullanıldığını iddia etti.
Yine de Google, Android telefonların Google Play Protect, OEM azaltmaları ve daha fazlası dahil olmak üzere çeşitli şekillerde güvenli olduğunu söyledi. Görünüşe göre Play Store’da bulunan uygulamalar da güvenli.
“OEM ortakları, temel uzlaşmayı bildirir bildirmez hafifletme önlemlerini derhal uygulamaya koydu. Son kullanıcılar, OEM ortakları tarafından uygulanan kullanıcı hafifletmeleriyle korunacak” dedi.
“Google, sistem görüntülerini tarayan Build Test Suite’te kötü amaçlı yazılım için kapsamlı tespitler gerçekleştirdi. Google Play Protect ayrıca kötü amaçlı yazılımı da algılar. Bu kötü amaçlı yazılımın Google Play Store’da bulunduğuna veya bulunduğuna dair hiçbir gösterge yoktur. Her zaman olduğu gibi, kullanıcılara şunları tavsiye ediyoruz: Android’in en son sürümünü çalıştırdıklarından emin olun.”