A chave de assinatura de apps Android da Samsung vazou e está sendo usada em malware

 (arstechnica.com)
11 pontos por xguru 2022-12-05 | 7 comentários | Compartilhar no WhatsApp
  • As chaves de assinatura criptográfica dos desenvolvedores são um elemento central da segurança do Android
  • Há uma postagem publicada pela equipe de segurança do Android do Google explicando as chaves vazadas, e parte delas pertence à Samsung/LG/Mediatek
  • Pior ainda, essas chaves são "chaves de certificado de plataforma", então ficam quase no nível de acesso root
    • São as chaves usadas para autenticar o app "android" no sistema
    • Esse app "android" é executado com o ID de usuário "android.uid.system", que tem permissão para acessar dados do usuário e privilégios de sistema
    • Todos os apps assinados com esse certificado podem ser executados com o mesmo nível de permissão perante o Android OS
  • A chave vazada da Samsung foi usada em centenas de apps distribuídos em cerca de 101 páginas, incluindo Samsung Pay, Bixby e o app de telefone
    • E a Samsung ainda não substituiu essa chave até hoje
  • O que torna a história ainda mais estranha é que, segundo o fundador do APKMirror, o malware assinado com essa chave no VirusTotal é de 2016
    • Ou seja, isso já acontecia há 6 anos... Ao perguntar à Samsung, a empresa respondeu o seguinte

      "A Samsung considera a segurança dos dispositivos Galaxy importante e, desde 2016, tem conhecimento desse problema e aplicou patches de segurança; até o momento, não há registro de incidentes de segurança relacionados a essa vulnerabilidade. Recomendamos sempre manter o dispositivo atualizado com as atualizações de software."

  • Sinceramente, isso não faz sentido. Como eles sabiam disso havia anos e ainda estavam usando a chave vazada?
  • Pode até haver dificuldade para atualizar telefones já vendidos, mas desde 2016 a Samsung lançou inúmeros aparelhos novos. Parece que já deveria ter feito builds do OS com uma nova chave há anos
  • A equipe de segurança do Android diz que, "após o relato desse vazamento de chave, os parceiros OEM implementaram medidas de mitigação. Além disso, o Build Test Suite também detecta o malware, e o Google Play igualmente detecta o malware"
  • Os OEMs precisam substituir rapidamente as chaves comprometidas. Não está claro por que a Samsung ainda continua usando essa chave
  • Com o APK Signature Scheme V3 do Android, os desenvolvedores podem trocar a chave do app apenas com uma atualização
    • O Google Play exige V3, mas alguns OEMs ainda usam V2

Leituras relacionadas

7 comentários

 
ruinnel 2022-12-07

https://news.einfomax.co.kr/news/articleView.html?idxno=4245304

Só alguns dias depois disso aparecer... a confusão sobre o caso da chave de assinatura do PAYCO está bem barulhenta.
Mas... por que este caso está tão quieto? kk..
 
geekgram 2022-12-06

Quer dizer que é um texto sugerindo que isso não seria uma evidência que poderia levantar a suspeita de que a Samsung estaria gerenciando malware?
 
xguru 2022-12-06

Não parece ser nesse nível. Dá mais a impressão de que simplesmente estão deixando como está sem tomar uma grande medida de resposta.
 
ganadist 2022-12-05

O APK signature scheme v3 pode ser usado,

  1. atualmente, os apps Android são enviados no formato app bundle e depois assinados no Google Play com a chave de assinatura fornecida ao Google
  2. no APK scheme v3, a função de revezar a chave de assinatura é opcional
  3. o Google Play ainda não oferece suporte a key rotation.

Já faz um ano e meio desde que, no ano passado, disseram que o recurso de key rotation chegaria em breve.
 
xguru 2022-12-06

Nossa, entendi... Obrigado pelas informações adicionais!
 
laeyoung 2022-12-05

Até entendo por que fizeram isso, e também consigo imaginar por que continuaram fazendo. Ainda assim, continuar fazendo isso é complicado.
 
love7peace 2022-12-05

Isso é real?