Android-valmistajien allekirjoitusvarmenteita vuotanut kolmansille osapuolille

FlyingAntero

FlyingAntero

ɑ n d r o i d
Tukijäsen
Liittynyt
17.10.2016
Viestejä
9 518
Googlen palveluksessa työskentelevä insinööri Łukasz Siewierski on havainnut joidenkin OEM-valmistajien käyttämien Android-alustan allekirjoitusvarmenteiden vuotaneen vääriin käsiin. Vuoto on mahdollistanut haittaohjelmien allekirjoittamisen OEM-valmistajien varmententeilla, mikä on tehnyt haitallisten sovellusten tunnistamisesta haastavaa. Koska kyseessä on koko Android-alustan allekirjoitusvarmenne, voidaan samalla varmenteella allekirjoitetulle haittaohjelmalle myöntää koko järjestelmätason käyttöoikeudet. Alla on lueteltu vuodetuilla varmenteilla allekirjoitettuja haittaohjelmia mutta periaatteessa vuoto mahdollistaa myös OEM-valmistajien omien sovellusten saastuttamisen. Allekirjoituksen jälkeen sovellus vaikuttaa turvalliselta ja asentuu päivityksenä edellisen version päälle, minkä jälkeen käyttäjän on liki mahdotonta havaita saastunutta sovellusta.
  • com.russian.signato.renewis
  • com.sledsdffsjkh.Search
  • com.android.power
  • com.management.propaganda
  • com.sec.android.musicplayer
  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage
  • com.vantage.ectronic.cornmuni
Toistaiseksi vuodettuja varmenteita on havaittu muun muassa Samsungilta, LG:ltä ja MediaTekiltä. Google on ollut valmistajiin jo yhteydessä ja pyytänyt heitä uusimaan kyseiset varmenteet. APKMirrorin tietokannan perusteella esimerkiksi Samsung on kuitenkin jatkanut vuodettujen varmenteiden käyttämistä viime päiviin asti. Lisäksi Google kehottaa valmistajia harkitsemaan jatkossa tarkemmin, kuinka usein koko Android-alustan allekirjoitusvarmenteita käytetään yksittäisten sovellusten kohdalla.

Googlen mukaan Play Kaupasta ladatut sovellukset ovat turvallisia mutta OEM-valmistajien tai muiden osapuolten kauppapaikoista ladatut sovellukset saattavat olla saastuneita, sillä varmenteen perusteella sovellukseen ei voida enää luottaa. Esimerkiksi APKMirrror luokittelee sovelluksen turvalliseksi käytetyn allekirjoitusvarmenteen perusteella. Jatkossa käyttäjän tuleekin pitää kaikkia vuodetuilla varmenteilla allekirjoitettuja sovelluksia potentiaalisesti saastuneina.
Screenshot_20221202-132900_Chrome_1.jpg

Lähteet:
 
sjii sanoi:
Jo on meininkiä. "Se on niiiiiiin vaikeeta... edes... reagoida." :facepalm: :darra:
Napsauta laajentaaksesi...
Jaaha, vuodetuilla varmenteilla allekirjoitettuja haittaohjelmia on havaittu vuodelta 2016 ja Samsung on ilmeisesti ollut asiasta tietoinen mutta ei ole uusinut varmenteita (ilmeisesti kulujen vuoksi :facepalm:).
The above response seems to confirm that the company has known about this leaked certificate since 2016, though it claims there have been no known security incidents regarding the vulnerability. However, it's not clear what else it has done to close that vulnerability, and given that the malware was first submitted to VirusTotal in 2016, it would seem that it's definitely out in the wild somewhere.
Napsauta laajentaaksesi...
Samsungin mukaan ei ole tiedossa saastuneiden sovellusten kautta tapahtuneita hyökkäyksiä heidän laitteillaan mutta tässä unohdetaan kokonaan sideloadaukset käyttäjien toimesta. Samsung ei niitä kykene mitenkään valvomaan vaan jättää kaiken nyt käyttäjien harteille. Ja sehän tästä vielä puuttuisi, että Galaxy Storesta löytyisi saastuneita sovelluksia.
Notably, this Android vulnerability doesn’t solely happen when installing a new or unknown app. Since these leaked platform keys are also in some cases used to sign common apps — including the Bixby app on at least some Samsung phones — an attacker could add malware to a trusted app, sign the malicious version with the same key, and Android would trust it as an “update.” This method would work regardless of if an app originally came from the Play Store, Galaxy Store, or was sideloaded.
Napsauta laajentaaksesi...
 
Well, jos puhelin sekoaa käyttökelvottomaksi haittaohjelmien takia, niin se voi myydä uuden tilalle... profit?
No ehkei nyt kuitenkaan, mutta aika moista ja härskiä välinpitämättömyyttä joka tapauksessa. Vähän niinkuin joku myisi yleisavaimia taloyhtiön huoneistoihin... Kai tuosta jonkin syytteen voisi nostaa?
 
Eikö tämä tapahtunut jo aikasemmin olisko pari vuotta sitten vai muistanko väärin.
 
Marti77 sanoi:
Eikö tämä tapahtunut jo aikasemmin olisko pari vuotta sitten vai muistanko väärin.
Napsauta laajentaaksesi...
Ei ole samasta tapauksesta kyse, kun asia tuli Googlen tietoon nyt kuluvan vuoden toukokuussa. Haittaohjelmia on tunnistettu jo vuonna 2016 mutta kukaan ei silloin tajunnut, että ne käyttää valmistajien varmenteita. Tai Samsung näyttää tienneen asiasta mutta on ollut vain hys hys :rolleyes:.
 
Tuota ei ole ihan helppo korjata. Ennen kuin vuotaneet varmenteet voidaan kumota, pitää kaikki niillä allekirjoitetut sovellukset korvata uudella varmenteella allekirjoitetulla. Varmaankin pelänneet tästä aiheutuvan ongelmia käyttäjille, mutta siitä huolimatta tuo olisi pitänyt lähteä korjaamaan heti kun on huomattu.

Käsittämätöntä on myös, että varmenteita on säilytetty niin huolimattomasti, että ne ovat päässeet vuotamaan. Kertoo todella löysästä suhtaumisesta tietoturvaan.
 
Grizzle sanoi:
Tuota ei ole ihan helppo korjata. Ennen kuin vuotaneet varmenteet voidaan kumota, pitää kaikki niillä allekirjoitetut sovellukset korvata uudella varmenteella allekirjoitetulla. Varmaankin pelänneet tästä aiheutuvan ongelmia käyttäjille, mutta siitä huolimatta tuo olisi pitänyt lähteä korjaamaan heti kun on huomattu.

Käsittämätöntä on myös, että varmenteita on säilytetty niin huolimattomasti, että ne ovat päässeet vuotamaan. Kertoo todella löysästä suhtaumisesta tietoturvaan.
Napsauta laajentaaksesi...
Samsungin toiminnassa käsittämätöntä on, että vuoto on ollut yhtiön tiedossa jo 6 vuotta (!) eikä varmenteita ole vaihdettu. Ainakin uusiin puhelimiin muutos olisi pitänyt tehdä, vaikka se onnistuisi myös vanhoihin laitteisiin. Samsungin on toiminta on herättänyt aika pöyristyneitä reaktioita mediassa.
The story gets even weirder, though. As APKMirror founder Artem Russakovskii points out, some of the samples of officially signed malware on VirusTotal are from 2016! So has this problem been going on for six years? Samsung gave the following statement to XDA Developers' Adam Conway:
Samsung takes the security of Galaxy devices seriously. We have issued security patches since 2016 upon being made aware of the issue, and there have been no known security incidents regarding this potential vulnerability. We always recommend that users keep their devices up-to-date with the latest software updates.
Frankly, that statement doesn't make any sense. If Samsung has known about this for years, why is it still using a compromised key? There might be some logistical issues in updating an already shipped phone that Samsung might not want to deal with, but Samsung has made a lot of new devices between 2016 and now. Making a new build of the OS with new keys, on a new phone, seems like something it should have done years ago...

...What OEMs really need to do is stop using the compromised keys to secure their apps. It's not clear why Samsung continues to use the key. Android's APK Signature Scheme V3 allows developers to change app keys with just an update—you authenticate an app with the new and old key and indicate that only the new key is supported for updates. This is a requirement for Play Store apps, but again, system apps from OEMs are not subject to any of the Play Store rules, so some OEMs are still using the old v2 signature scheme.

Thankfully, these leaked keys are only for apps and not the keys used to sign OS updates. So even if the v3 signature scheme is not in use, theoretically the affected companies could ship a still-secure OTA update that includes new system apps with new keys, and they could make new corresponding Play Store updates that are compatible with those new keys. That sounds like a lot of work, though.
Napsauta laajentaaksesi...
 
Prosumies sanoi:
Siihen riittää yhden työntekijän lipsahdus....
Napsauta laajentaaksesi...
Onko nämä eri valmistajien varmenteen jotenkin keskitetty, vai jakavatko valmistajat niitä mistä seuraa että yhdellä useamman. joka sitten lipsauttaa kaikki kerralla.

Jos siis oletetaan että yhdestä lipsahduksesta kyse.

Uutinen ei avannut onko kyse yhdestä, vai sarjasta varkauksia, no ei kertonut sitäkään onko kyse ihan jakotavarasta.

En nyt saanut selville sitäkään onko certit jossain jaossa, ja devaajien käytettävissä, siis ihan sillä että markkinoille voisi tulla ihan oikeita älupuhelinsovelluksia.
 
pulatunnus sanoi:
Uutinen ei avannut onko kyse yhdestä, vai sarjasta varkauksia, no ei kertonut sitäkään onko kyse ihan jakotavarasta.

En nyt saanut selville sitäkään onko certit jossain jaossa, ja devaajien käytettävissä, siis ihan sillä että markkinoille voisi tulla ihan oikeita älupuhelinsovelluksia.
Napsauta laajentaaksesi...
Sehän tässä on, kun Google tai valmistajat eivät ole avanneet taustoja juuri ollenkaan. Sekä Google että Samsung ovat vain todenneet, että heidän tiedossa ei ole kyseisillä varmenteilla levinneitä haittaohjelmia Play Kaupassa tai Galaxy Storessa. Se on sitten eri asia, onko niitä kuitenkin muttei vain havaittu :hmm:. Nyt on vain tiedossa, että varmenteet ovat vuotaneet ja niillä on allekirjoitettu haittaohjelmia.
At the moment, there is no information on what led to these certificates being abused to sign malware — if one or more threat actors stole them or if an insider with authorized access signed the APKs with the vendor keys.
Napsauta laajentaaksesi...
Consumers are now left in the dark about how this happened and how it's being handled. We're going to be very generous and hope it's just because this is a newly developing situation right now. We'll update this post if Samsung or Google answers any of our myriad questions.
Napsauta laajentaaksesi...
 
Tässä taas nähdään, että menee rahat hyvään käyttöön kun ostaa Samsungin parin tonnin lippulaivapuhelimia :D Kunnon kuluttajaystävällinen firma, joka ajattelee aina ennen kaikkea omia asiakkaitaan.
 
FlyingAntero sanoi:
Sekä Google että Samsung ovat vain todenneet, että heidän tiedossa ei ole kyseisillä varmenteilla levinneitä haittaohjelmia Play Kaupassa tai Galaxy Storessa. Se on sitten eri asia, onko niitä kuitenkin muttei vain havaittu
Napsauta laajentaaksesi...
Sovelluskauppojen kohdalla tuo helppo havaita ja estää automaattisesti, kun se digitaalinen allekirjoitus kuitenkin varmennetaan aina siinä kohtaa, kun joku uploadaa uuden binäärin kauppaan. Eli noi tietyt avaimet voidaan lukita tiettyyn kehittäjään tai sovelluksiin, ja muiden kohdalla niillä allekirjoitetut paketit hylätään. Jos joku löytää noi privaattiavaimet niin tuota on helppo testata (tosin penalti voi olla Google Play Developer -tilin sulkeminen).
 
Agent_007 sanoi:
Sovelluskauppojen kohdalla tuo helppo havaita ja estää automaattisesti, kun se digitaalinen allekirjoitus kuitenkin varmennetaan aina siinä kohtaa, kun joku uploadaa uuden binäärin kauppaan. Eli noi tietyt avaimet voidaan lukita tiettyyn kehittäjään tai sovelluksiin, ja muiden kohdalla niillä allekirjoitetut paketit hylätään. Jos joku löytää noi privaattiavaimet niin tuota on helppo testata (tosin penalti voi olla Google Play Developer -tilin sulkeminen).
Napsauta laajentaaksesi...
Play Kaupassa tällä tavalla varmaan toimitaankin. Muiden sovelluskauppojen kohdalla voi olla haastava ylipäätänsä tunnistaa "luotettavaa" lähdettä eli kenelle sallitaan vuodetuilla varmenteilla allekirjoitettujen sovellusten uppaaminen ja kenelle ei. Sen takia ne varmenteet pitäisi vaihtaa. Lisäksi APKMirrorin kaltaisella sivustolla tuskin on mitään työkalua olemassa, miten nämä voitaisiin käydä systemaattisesti läpi.





Twitter käyttäjä ArtemR on siis APKMirrorin perustaja.
 
Ehkäpä varmenteet pitäisi automaattisesti uusia vuosittain. Puhelin sitten ilmoittaisi ohjeman varmenteen vuoden ohjelmaa ladatessa ja varoittaisi, jos varmenteelle on tullut haitakkeita.
 
Griffin sanoi:
Ehkäpä varmenteet pitäisi automaattisesti uusia vuosittain. Puhelin sitten ilmoittaisi ohjeman varmenteen vuoden ohjelmaa ladatessa ja varoittaisi, jos varmenteelle on tullut haitakkeita.
Napsauta laajentaaksesi...
Jos ja kun puhutaan Android laitteista yleisesti, niin vanhenevat varmenteet olisi myös ongelma, toki sillä saisi tapettua laitteet, mutta ei ehkä kuluttajan etu. Jotain prosesseja kyllä kannattaa miettiä miten vaarantuneet voidaan päivittää, samalla kuitenkin se ettei ne aiheuta suurempaa ongelmaa / riskiä.
Tiedottaminen, jos vaarantuminen tapahtunut, niin miten se tiedotetaan, ja siinäkin se ettei samalla vaaranna, pahenna tilannetta.
Iso rooli myös ns sovelluskaupoilla, niiden kautta tiedottaa, ja ne pystyy myös kontroloimaan mitä ja kenenkä julkaisemia sovelluksia jakavat.
 
pulatunnus sanoi:
Jos ja kun puhutaan Android laitteista yleisesti, niin vanhenevat varmenteet olisi myös ongelma, toki sillä saisi tapettua laitteet, mutta ei ehkä kuluttajan etu. Jotain prosesseja kyllä kannattaa miettiä miten vaarantuneet voidaan päivittää, samalla kuitenkin se ettei ne aiheuta suurempaa ongelmaa / riskiä.
Tiedottaminen, jos vaarantuminen tapahtunut, niin miten se tiedotetaan, ja siinäkin se ettei samalla vaaranna, pahenna tilannetta.
Iso rooli myös ns sovelluskaupoilla, niiden kautta tiedottaa, ja ne pystyy myös kontroloimaan mitä ja kenenkä julkaisemia sovelluksia jakavat.
Napsauta laajentaaksesi...
Mikäs siinä olisi ongelma? Niitä vanhempia varmenteitakin voisi käyttää, niistä vain varoitettaisiin. Ja kun puhelin tulee esim 10 vuoden ikään, niin sen tietoturva ei ole ajantasalla jokatapauksessa, jolloin on ihan hyvä, jos siihen ei saa ilman roottaamista asennettua mitään.. Vuosittain uusissa varmenteissa olisi se hyvä puoli, että paljon pienempi määrä puhelimia olisi alttiina / vuodettu varmenne..
 
Griffin sanoi:
Mikäs siinä olisi ongelma? Niitä vanhempia varmenteitakin voisi käyttää, niistä vain varoitettaisiin.
Napsauta laajentaaksesi...

Okei, mutta jos niitä uusia ei ole asennettu valmiiksi laitteeseen, pitää ne jotenkin asentaa kaikkiin, en laskisi sen veraan että kehittäjät allekirjoittaisi kaikilla vermenteilla softansa.

Griffin sanoi:
. Ja kun puhelin tulee esim 10 vuoden ikään, niin sen tietoturva ei ole ajantasalla jokatapauksessa, jolloin on ihan hyvä, jos siihen ei saa ilman roottaamista asennettua mitään..
Napsauta laajentaaksesi...
Tämä koski kai tabletteja, isossa kuvassa toki hyvä että laitekanta vaihtuu, mutta laitteita käytetään muussakin käytössä, kun jonain taskupuhelimena. Vanhoija toimivia laitteita tappaa kuolevat varmenteet.
 
Valmistajat pystyvät uusimaan varmenteet, jos vain haluavat. V3 signaturet tukevat varmenteiden vaihtamista mutta se onnistuu OTA-päivityksillä V2 signaturejen kanssa. Tosin työlästähän tämä on valmistajille, miksi hommaan ei varmaan ole ryhdytty.
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
258 650
Viestejä
4 494 727
Jäsenet
74 265
Uusin jäsen
Oranta

Hinta.fi

Back
Ylös Bottom