Kryptografický podpisový kľúč vývojára je jedným z najdôležitejších pilierov zabezpečenia systému Android. Kedykoľvek Android aktualizuje aplikáciu, podpisový kľúč starej aplikácie vo vašom telefóne sa musí zhodovať s kľúčom aktualizácie, ktorú inštalujete. Zodpovedajúce kľúče zaisťujú, že aktualizácia skutočne pochádza od spoločnosti, ktorá pôvodne vytvorila vašu aplikáciu, a nejde o škodlivú schému únosu. Ak dôjde k úniku podpisového kľúča vývojára, ktokoľvek môže distribuovať aktualizácie škodlivých aplikácií a Android ich rád nainštaluje, pretože si myslí, že sú legitímne.

V systéme Android sa proces aktualizácie aplikácií neobmedzuje len na aplikácie stiahnuté z App Store, ale aj na pribalené systémové aplikácie od spoločnosti Google, výrobcu vášho zariadenia a akékoľvek iné pribalené aplikácie. Zatiaľ čo stiahnuté aplikácie majú prísny súbor povolení a ovládacích prvkov, pribalené aplikácie pre Android majú prístup k výkonnejším a invazívnejším povoleniam a nepodliehajú zvyčajným obmedzeniam Obchodu Play (preto sa Facebook vždy snaží byť pribalenou aplikáciou). Ak vývojár tretej strany stratí svoj podpisový kľúč, bolo by to zlé. keby to bolo Android OEM Stratil som podpisový kľúč systémovej aplikácie, bolo by to naozaj zlé.

Hádajte, čo sa stalo! Łukasz Siewierski, člen bezpečnostného tímu Google pre Android, má príspevok na Android Partner Issue Tracker (AVPI) s podrobnosťami Uniknuté kľúče certifikátu platformy ktoré sa aktívne používajú na podpisovanie malvéru. Príspevok je len zoznam prepínačov, no každý je zapnutý APKMirror alebo google VirusTotal Stránka zobrazí názvy niektorých napadnutých kľúčov: samsungA LGA mediatech Sú to tí najobsadzovanejší v zozname uniknutých prepínačov spolu s niektorými menšími výrobcami OEM, ako sú revízia a Szroco, ktorá vyrába Onn disky od Walmartu.

Podpisové kľúče týchto spoločností nejakým spôsobom unikli neznámym ľuďom a teraz nemôžete veriť, že aplikácie, ktoré tvrdia, že sú od týchto spoločností, sú skutočne od nich. Aby toho nebolo málo, „kľúče certifikátov platformy“, ktoré stratili, obsahovali niekoľko vážnych povolení. Aby som citoval z príspevku AVPI:

Certifikát platformy je certifikát na podpisovanie aplikácie, ktorý sa používa na podpísanie aplikácie „android“ do obrazu systému. Aplikácia „android“ beží s vysoko privilegovaným ID používateľa – android.uid.system – a má systémové povolenia vrátane povolení na prístup k údajom používateľa. Akákoľvek iná aplikácia podpísaná rovnakým certifikátom môže vyhlásiť, že chce bežať s rovnakým ID používateľa, čím získa rovnakú úroveň prístupu k operačnému systému Android.