Android-valmistajien allekirjoitusvarmenteita vuotanut kolmansille osapuolille

FlyingAntero

ɑ n d r o i d
Tukijäsen
Liittynyt
17.10.2016
Viestejä
8 587
Googlen palveluksessa työskentelevä insinööri Łukasz Siewierski on havainnut joidenkin OEM-valmistajien käyttämien Android-alustan allekirjoitusvarmenteiden vuotaneen vääriin käsiin. Vuoto on mahdollistanut haittaohjelmien allekirjoittamisen OEM-valmistajien varmententeilla, mikä on tehnyt haitallisten sovellusten tunnistamisesta haastavaa. Koska kyseessä on koko Android-alustan allekirjoitusvarmenne, voidaan samalla varmenteella allekirjoitetulle haittaohjelmalle myöntää koko järjestelmätason käyttöoikeudet. Alla on lueteltu vuodetuilla varmenteilla allekirjoitettuja haittaohjelmia mutta periaatteessa vuoto mahdollistaa myös OEM-valmistajien omien sovellusten saastuttamisen. Allekirjoituksen jälkeen sovellus vaikuttaa turvalliselta ja asentuu päivityksenä edellisen version päälle, minkä jälkeen käyttäjän on liki mahdotonta havaita saastunutta sovellusta.
  • com.russian.signato.renewis
  • com.sledsdffsjkh.Search
  • com.android.power
  • com.management.propaganda
  • com.sec.android.musicplayer
  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage
  • com.vantage.ectronic.cornmuni
Toistaiseksi vuodettuja varmenteita on havaittu muun muassa Samsungilta, LG:ltä ja MediaTekiltä. Google on ollut valmistajiin jo yhteydessä ja pyytänyt heitä uusimaan kyseiset varmenteet. APKMirrorin tietokannan perusteella esimerkiksi Samsung on kuitenkin jatkanut vuodettujen varmenteiden käyttämistä viime päiviin asti. Lisäksi Google kehottaa valmistajia harkitsemaan jatkossa tarkemmin, kuinka usein koko Android-alustan allekirjoitusvarmenteita käytetään yksittäisten sovellusten kohdalla.

Googlen mukaan Play Kaupasta ladatut sovellukset ovat turvallisia mutta OEM-valmistajien tai muiden osapuolten kauppapaikoista ladatut sovellukset saattavat olla saastuneita, sillä varmenteen perusteella sovellukseen ei voida enää luottaa. Esimerkiksi APKMirrror luokittelee sovelluksen turvalliseksi käytetyn allekirjoitusvarmenteen perusteella. Jatkossa käyttäjän tuleekin pitää kaikkia vuodetuilla varmenteilla allekirjoitettuja sovelluksia potentiaalisesti saastuneina.
Screenshot_20221202-132900_Chrome_1.jpg

Lähteet:
 

FlyingAntero

ɑ n d r o i d
Tukijäsen
Liittynyt
17.10.2016
Viestejä
8 587
Jo on meininkiä. "Se on niiiiiiin vaikeeta... edes... reagoida." :facepalm: :darra:
Jaaha, vuodetuilla varmenteilla allekirjoitettuja haittaohjelmia on havaittu vuodelta 2016 ja Samsung on ilmeisesti ollut asiasta tietoinen mutta ei ole uusinut varmenteita (ilmeisesti kulujen vuoksi :facepalm:).
The above response seems to confirm that the company has known about this leaked certificate since 2016, though it claims there have been no known security incidents regarding the vulnerability. However, it's not clear what else it has done to close that vulnerability, and given that the malware was first submitted to VirusTotal in 2016, it would seem that it's definitely out in the wild somewhere.
Samsungin mukaan ei ole tiedossa saastuneiden sovellusten kautta tapahtuneita hyökkäyksiä heidän laitteillaan mutta tässä unohdetaan kokonaan sideloadaukset käyttäjien toimesta. Samsung ei niitä kykene mitenkään valvomaan vaan jättää kaiken nyt käyttäjien harteille. Ja sehän tästä vielä puuttuisi, että Galaxy Storesta löytyisi saastuneita sovelluksia.
Notably, this Android vulnerability doesn’t solely happen when installing a new or unknown app. Since these leaked platform keys are also in some cases used to sign common apps — including the Bixby app on at least some Samsung phones — an attacker could add malware to a trusted app, sign the malicious version with the same key, and Android would trust it as an “update.” This method would work regardless of if an app originally came from the Play Store, Galaxy Store, or was sideloaded.
 
Liittynyt
14.12.2016
Viestejä
2 659
Well, jos puhelin sekoaa käyttökelvottomaksi haittaohjelmien takia, niin se voi myydä uuden tilalle... profit?
No ehkei nyt kuitenkaan, mutta aika moista ja härskiä välinpitämättömyyttä joka tapauksessa. Vähän niinkuin joku myisi yleisavaimia taloyhtiön huoneistoihin... Kai tuosta jonkin syytteen voisi nostaa?
 

Marti77

Team H2O
Liittynyt
16.12.2016
Viestejä
3 635
Eikö tämä tapahtunut jo aikasemmin olisko pari vuotta sitten vai muistanko väärin.
 

FlyingAntero

ɑ n d r o i d
Tukijäsen
Liittynyt
17.10.2016
Viestejä
8 587
Eikö tämä tapahtunut jo aikasemmin olisko pari vuotta sitten vai muistanko väärin.
Ei ole samasta tapauksesta kyse, kun asia tuli Googlen tietoon nyt kuluvan vuoden toukokuussa. Haittaohjelmia on tunnistettu jo vuonna 2016 mutta kukaan ei silloin tajunnut, että ne käyttää valmistajien varmenteita. Tai Samsung näyttää tienneen asiasta mutta on ollut vain hys hys :rolleyes:.
 
Liittynyt
05.01.2017
Viestejä
206
Tuota ei ole ihan helppo korjata. Ennen kuin vuotaneet varmenteet voidaan kumota, pitää kaikki niillä allekirjoitetut sovellukset korvata uudella varmenteella allekirjoitetulla. Varmaankin pelänneet tästä aiheutuvan ongelmia käyttäjille, mutta siitä huolimatta tuo olisi pitänyt lähteä korjaamaan heti kun on huomattu.

Käsittämätöntä on myös, että varmenteita on säilytetty niin huolimattomasti, että ne ovat päässeet vuotamaan. Kertoo todella löysästä suhtaumisesta tietoturvaan.
 

FlyingAntero

ɑ n d r o i d
Tukijäsen
Liittynyt
17.10.2016
Viestejä
8 587
Tuota ei ole ihan helppo korjata. Ennen kuin vuotaneet varmenteet voidaan kumota, pitää kaikki niillä allekirjoitetut sovellukset korvata uudella varmenteella allekirjoitetulla. Varmaankin pelänneet tästä aiheutuvan ongelmia käyttäjille, mutta siitä huolimatta tuo olisi pitänyt lähteä korjaamaan heti kun on huomattu.

Käsittämätöntä on myös, että varmenteita on säilytetty niin huolimattomasti, että ne ovat päässeet vuotamaan. Kertoo todella löysästä suhtaumisesta tietoturvaan.
Samsungin toiminnassa käsittämätöntä on, että vuoto on ollut yhtiön tiedossa jo 6 vuotta (!) eikä varmenteita ole vaihdettu. Ainakin uusiin puhelimiin muutos olisi pitänyt tehdä, vaikka se onnistuisi myös vanhoihin laitteisiin. Samsungin on toiminta on herättänyt aika pöyristyneitä reaktioita mediassa.
The story gets even weirder, though. As APKMirror founder Artem Russakovskii points out, some of the samples of officially signed malware on VirusTotal are from 2016! So has this problem been going on for six years? Samsung gave the following statement to XDA Developers' Adam Conway:
Samsung takes the security of Galaxy devices seriously. We have issued security patches since 2016 upon being made aware of the issue, and there have been no known security incidents regarding this potential vulnerability. We always recommend that users keep their devices up-to-date with the latest software updates.
Frankly, that statement doesn't make any sense. If Samsung has known about this for years, why is it still using a compromised key? There might be some logistical issues in updating an already shipped phone that Samsung might not want to deal with, but Samsung has made a lot of new devices between 2016 and now. Making a new build of the OS with new keys, on a new phone, seems like something it should have done years ago...

...What OEMs really need to do is stop using the compromised keys to secure their apps. It's not clear why Samsung continues to use the key. Android's APK Signature Scheme V3 allows developers to change app keys with just an update—you authenticate an app with the new and old key and indicate that only the new key is supported for updates. This is a requirement for Play Store apps, but again, system apps from OEMs are not subject to any of the Play Store rules, so some OEMs are still using the old v2 signature scheme.

Thankfully, these leaked keys are only for apps and not the keys used to sign OS updates. So even if the v3 signature scheme is not in use, theoretically the affected companies could ship a still-secure OTA update that includes new system apps with new keys, and they could make new corresponding Play Store updates that are compatible with those new keys. That sounds like a lot of work, though.
 
Liittynyt
10.01.2019
Viestejä
9 500
Siihen riittää yhden työntekijän lipsahdus....
Onko nämä eri valmistajien varmenteen jotenkin keskitetty, vai jakavatko valmistajat niitä mistä seuraa että yhdellä useamman. joka sitten lipsauttaa kaikki kerralla.

Jos siis oletetaan että yhdestä lipsahduksesta kyse.

Uutinen ei avannut onko kyse yhdestä, vai sarjasta varkauksia, no ei kertonut sitäkään onko kyse ihan jakotavarasta.

En nyt saanut selville sitäkään onko certit jossain jaossa, ja devaajien käytettävissä, siis ihan sillä että markkinoille voisi tulla ihan oikeita älupuhelinsovelluksia.
 

FlyingAntero

ɑ n d r o i d
Tukijäsen
Liittynyt
17.10.2016
Viestejä
8 587
Uutinen ei avannut onko kyse yhdestä, vai sarjasta varkauksia, no ei kertonut sitäkään onko kyse ihan jakotavarasta.

En nyt saanut selville sitäkään onko certit jossain jaossa, ja devaajien käytettävissä, siis ihan sillä että markkinoille voisi tulla ihan oikeita älupuhelinsovelluksia.
Sehän tässä on, kun Google tai valmistajat eivät ole avanneet taustoja juuri ollenkaan. Sekä Google että Samsung ovat vain todenneet, että heidän tiedossa ei ole kyseisillä varmenteilla levinneitä haittaohjelmia Play Kaupassa tai Galaxy Storessa. Se on sitten eri asia, onko niitä kuitenkin muttei vain havaittu :hmm:. Nyt on vain tiedossa, että varmenteet ovat vuotaneet ja niillä on allekirjoitettu haittaohjelmia.
At the moment, there is no information on what led to these certificates being abused to sign malware — if one or more threat actors stole them or if an insider with authorized access signed the APKs with the vendor keys.
Consumers are now left in the dark about how this happened and how it's being handled. We're going to be very generous and hope it's just because this is a newly developing situation right now. We'll update this post if Samsung or Google answers any of our myriad questions.
 
Liittynyt
08.12.2017
Viestejä
989
Tässä taas nähdään, että menee rahat hyvään käyttöön kun ostaa Samsungin parin tonnin lippulaivapuhelimia :D Kunnon kuluttajaystävällinen firma, joka ajattelee aina ennen kaikkea omia asiakkaitaan.
 
Liittynyt
09.11.2016
Viestejä
1 023
Sekä Google että Samsung ovat vain todenneet, että heidän tiedossa ei ole kyseisillä varmenteilla levinneitä haittaohjelmia Play Kaupassa tai Galaxy Storessa. Se on sitten eri asia, onko niitä kuitenkin muttei vain havaittu
Sovelluskauppojen kohdalla tuo helppo havaita ja estää automaattisesti, kun se digitaalinen allekirjoitus kuitenkin varmennetaan aina siinä kohtaa, kun joku uploadaa uuden binäärin kauppaan. Eli noi tietyt avaimet voidaan lukita tiettyyn kehittäjään tai sovelluksiin, ja muiden kohdalla niillä allekirjoitetut paketit hylätään. Jos joku löytää noi privaattiavaimet niin tuota on helppo testata (tosin penalti voi olla Google Play Developer -tilin sulkeminen).
 

FlyingAntero

ɑ n d r o i d
Tukijäsen
Liittynyt
17.10.2016
Viestejä
8 587
Sovelluskauppojen kohdalla tuo helppo havaita ja estää automaattisesti, kun se digitaalinen allekirjoitus kuitenkin varmennetaan aina siinä kohtaa, kun joku uploadaa uuden binäärin kauppaan. Eli noi tietyt avaimet voidaan lukita tiettyyn kehittäjään tai sovelluksiin, ja muiden kohdalla niillä allekirjoitetut paketit hylätään. Jos joku löytää noi privaattiavaimet niin tuota on helppo testata (tosin penalti voi olla Google Play Developer -tilin sulkeminen).
Play Kaupassa tällä tavalla varmaan toimitaankin. Muiden sovelluskauppojen kohdalla voi olla haastava ylipäätänsä tunnistaa "luotettavaa" lähdettä eli kenelle sallitaan vuodetuilla varmenteilla allekirjoitettujen sovellusten uppaaminen ja kenelle ei. Sen takia ne varmenteet pitäisi vaihtaa. Lisäksi APKMirrorin kaltaisella sivustolla tuskin on mitään työkalua olemassa, miten nämä voitaisiin käydä systemaattisesti läpi.



Twitter käyttäjä ArtemR on siis APKMirrorin perustaja.
 
Liittynyt
16.10.2016
Viestejä
10 166
Ehkäpä varmenteet pitäisi automaattisesti uusia vuosittain. Puhelin sitten ilmoittaisi ohjeman varmenteen vuoden ohjelmaa ladatessa ja varoittaisi, jos varmenteelle on tullut haitakkeita.
 
Liittynyt
10.01.2019
Viestejä
9 500
Ehkäpä varmenteet pitäisi automaattisesti uusia vuosittain. Puhelin sitten ilmoittaisi ohjeman varmenteen vuoden ohjelmaa ladatessa ja varoittaisi, jos varmenteelle on tullut haitakkeita.
Jos ja kun puhutaan Android laitteista yleisesti, niin vanhenevat varmenteet olisi myös ongelma, toki sillä saisi tapettua laitteet, mutta ei ehkä kuluttajan etu. Jotain prosesseja kyllä kannattaa miettiä miten vaarantuneet voidaan päivittää, samalla kuitenkin se ettei ne aiheuta suurempaa ongelmaa / riskiä.
Tiedottaminen, jos vaarantuminen tapahtunut, niin miten se tiedotetaan, ja siinäkin se ettei samalla vaaranna, pahenna tilannetta.
Iso rooli myös ns sovelluskaupoilla, niiden kautta tiedottaa, ja ne pystyy myös kontroloimaan mitä ja kenenkä julkaisemia sovelluksia jakavat.
 
Liittynyt
16.10.2016
Viestejä
10 166
Jos ja kun puhutaan Android laitteista yleisesti, niin vanhenevat varmenteet olisi myös ongelma, toki sillä saisi tapettua laitteet, mutta ei ehkä kuluttajan etu. Jotain prosesseja kyllä kannattaa miettiä miten vaarantuneet voidaan päivittää, samalla kuitenkin se ettei ne aiheuta suurempaa ongelmaa / riskiä.
Tiedottaminen, jos vaarantuminen tapahtunut, niin miten se tiedotetaan, ja siinäkin se ettei samalla vaaranna, pahenna tilannetta.
Iso rooli myös ns sovelluskaupoilla, niiden kautta tiedottaa, ja ne pystyy myös kontroloimaan mitä ja kenenkä julkaisemia sovelluksia jakavat.
Mikäs siinä olisi ongelma? Niitä vanhempia varmenteitakin voisi käyttää, niistä vain varoitettaisiin. Ja kun puhelin tulee esim 10 vuoden ikään, niin sen tietoturva ei ole ajantasalla jokatapauksessa, jolloin on ihan hyvä, jos siihen ei saa ilman roottaamista asennettua mitään.. Vuosittain uusissa varmenteissa olisi se hyvä puoli, että paljon pienempi määrä puhelimia olisi alttiina / vuodettu varmenne..
 
Liittynyt
10.01.2019
Viestejä
9 500
Mikäs siinä olisi ongelma? Niitä vanhempia varmenteitakin voisi käyttää, niistä vain varoitettaisiin.
Okei, mutta jos niitä uusia ei ole asennettu valmiiksi laitteeseen, pitää ne jotenkin asentaa kaikkiin, en laskisi sen veraan että kehittäjät allekirjoittaisi kaikilla vermenteilla softansa.

. Ja kun puhelin tulee esim 10 vuoden ikään, niin sen tietoturva ei ole ajantasalla jokatapauksessa, jolloin on ihan hyvä, jos siihen ei saa ilman roottaamista asennettua mitään..
Tämä koski kai tabletteja, isossa kuvassa toki hyvä että laitekanta vaihtuu, mutta laitteita käytetään muussakin käytössä, kun jonain taskupuhelimena. Vanhoija toimivia laitteita tappaa kuolevat varmenteet.
 

FlyingAntero

ɑ n d r o i d
Tukijäsen
Liittynyt
17.10.2016
Viestejä
8 587
Valmistajat pystyvät uusimaan varmenteet, jos vain haluavat. V3 signaturet tukevat varmenteiden vaihtamista mutta se onnistuu OTA-päivityksillä V2 signaturejen kanssa. Tosin työlästähän tämä on valmistajille, miksi hommaan ei varmaan ole ryhdytty.
 
Toggle Sidebar

Statistiikka

Viestiketjut
193 482
Viestejä
3 497 441
Jäsenet
62 350
Uusin jäsen
Maxfaraon

Hinta.fi

Ylös Bottom