Google’dan bir tersine mühendis, bilgisayar korsanlarının Android kötü amaçlı yazılım uygulamalarını imzalamak için birden çok platform imzalama sertifikası kullandığını tespit etti.
Güvenliği ihlal edilmiş platform imzalama sertifikaları, Samsung Electronics, LG Electronics, Revoview ve Mediatek gibi bazı tanınmış satıcılara aittir.
Uygulama imzalama sertifikaları olarak da bilinen platform sertifikaları, çoğunlukla OEM (orijinal ekipman üreticisi) satıcıları tarafından Android Uygulamalarını imzalamak için kullanılır.
Android uygulamasını imzalamak için kullanılan Platform imzalama sertifikası, platformda çalışmak için en yüksek ayrıcalığı elde eder, hatta kullanıcı verilerine erişim iznine de sahiptir.
Bu nedenle, diğer uygulamayı imzalamak için aynı sertifika kullanılırsa potansiyel olarak tehlikelidir ve saldırganların güvenliği ihlal edilmiş platform imzalama sertifikası tarafından imzalanmış kötü amaçlı bir uygulama yükleyerek cihazda en yüksek ayrıcalığı elde etmelerine olanak tanır.
Saldırganlar aynı platform sertifikasını kullanarak kötü amaçlı yazılımı imzaladıktan sonra, aynı düzeyde ayrıcalık elde etme yeteneğine sahip olduğunda cihaza tam erişim elde edilmesine yol açar.
Google raporuna göre “Platform sertifikası, “android” uygulamasını sistem görüntüsünde imzalamak için kullanılan uygulama imzalama sertifikasıdır.
“Android” uygulaması, oldukça ayrıcalıklı bir kullanıcı kimliğiyle – android.uid.system – çalışır ve kullanıcı verilerine erişim izinleri de dahil olmak üzere sistem izinlerini elinde tutar.
Aynı sertifikayla imzalanan diğer herhangi bir uygulama, aynı kullanıcı kimliğiyle çalışmak istediğini beyan ederek Android işletim sistemine aynı düzeyde erişim sağlayabilir.”
Platform şarkı sertifikaları tarafından imzalanan kötü amaçlı paket adının listesi aşağıdadır.
com.russian.signato.renewis
com.sledsdffsjkh.Search
com.android.power
com.management.propaganda
com.sec.android.musicplayer
com.houla.quicken
com.attd.da
com.arlo.fappx
com.metasploit.stage
com.vantage.ectronic.cornmuniOlay Bildirildi:
Google, etkilenen tedarikçilere (Samsung Electronics, LG Electronics, Revoview ve Mediatek) hemen bildirdi.
Ayrıca, “Platform sertifikasıyla imzalanan uygulamalar, uid’yi” android “uygulamayla paylaşmak istediklerini beyan edebilir ve onlara kullanıcı girişi olmadan aynı izin setini verebilir.”
Daha fazla riski azaltmak için Google, platform sertifikasını yeni bir genel ve özel anahtar grubuyla değiştirerek döndürmeyi önerir.
“Ayrıca, sorunun temel nedenini bulmak için bir iç soruşturma yürütmeli ve olayın gelecekte olmasını önlemek için adımlar atmalıdırlar.”
IOC
Saldırganlar tarafından kullanıldığı tespit edilen birden fazla örnek var. araştırmacıların herkese açık olarak paylaştığı birkaç örneğin listesi burada.
“Aşağıda, platform imzalama sertifikalarının SHA256 karmaları ve platform sertifikasını kullanan doğru şekilde imzalanmış kötü amaçlı yazılımların SHA256 karmaları listelenmiştir. Bazı durumlarda, birden fazla kötü amaçlı yazılım örneği bulunduğunda, yalnızca bir temsili örnek listelenir.” dedi Google.
| Sertifika SHA256: 2464ddfefa071f268ea7667123df05ead2293272ff2a64d9cee021c38b46c6af Kötü amaçlı yazılım örneği SHA256: e4e28de8ad3f826fe50a456217d11e9e6a80563b35871ac37845357628b95f6aSertifika SHA256: 2bfa22964760a25d99ab9a14910e44fe2063b51d5b4ac2e4282573ce94996aa3 Kötü amaçlı yazılım örneği SHA256: 5c173df9e86e959c2eadcc3ef9897c8e1438b7a154c7c692d0fe054837530458 Sertifika SHA256: 34df0e7a9f1cf1892e45c056b4973cd81ccf148a4050d11aea4ac5a65f900a42 Sertifika SHA256: 369c38b18401ea16785f11720e37d7a2bc5a4d209e76955c0858ea469ad62fdf Sertifika SHA256: 4274243d7a954ac6482866f0cc67ca1843ca94d68a0ee53f837d6740a8134421 Sertifika SHA256: 5304915c4bb7baca28776231993996fde1baffcbbe6500fb0fc7f2d3a2888cb7 Sertifika SHA256: 9200c550f2374706eff37e3a8674bc03aeba8b25c052de638972ab94365af0a2 Sertifika SHA256: 9fc510e167d8d312e758273285414e77edac9fed944741f5682be92501f095d4 Sertifika SHA256: a7a0e10a61a5af93624376df60e9def9436358f50aa6174e5423633b856e2be1 Sertifika SHA256: b01dcea669eefdd991fc6a24678a8b6e6a6d0ad8986950328c69d0eea1dec0d5 |
Google, gelecekte benzer bir olayın meydana gelmesi durumunda platform anahtarlarını döndürme maliyetini önemli ölçüde azaltacağından, platform sertifikasıyla imzalanan uygulama sayısının en aza indirilmesini önerir.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin