Google’ın Android güvenlik ekibi, bilgisayar korsanlarının güvenliği ihlal edilmiş birkaç Android platformu sertifikası kullanarak kötü amaçlı uygulamalar imzaladığını bildirdi. Bu olay da bize şunu hatırlatıyor. Mart 2020’de ne oldu? tehdit aktörlerinin sahte güvenlik sertifikası uyarıları içeren bilgi hırsızı kötü amaçlı yazılımları bıraktığı tespit edildiğinde.
Platform Sertifikaları Nedir? Bilginiz olsun, platform sertifikaları dijital anahtarlardır, güvenilirdir ve belirli cihaz orijinal ekipman üreticilerine (OEM’ler) aittir. Bunlar, temel uygulamalarını imzalamak için kullanılır. Bu nedenle, saldırganlar, yasal uygulamalar olarak root erişimi elde etmek için kötü amaçlı uygulamaları imzalamak için bunları kötüye kullanır ve bu da şüphelenmeyen kullanıcılar için ciddi sorunlara neden olur.
Her cihaz OEM, platformun temel uygulamalarını imzalamak için çok sayıda güvenilir sertifikaya sahiptir. Bu, imzalı uygulamaların kök ayrıcalıkları kazanmasına ve sistemin en iyi şekilde çalışmasına izin vermek için belgeleri bir imzayla doğrulamaya benzer.
Bulgu Ayrıntıları
Tehdit aktörleri, kötü amaçlı yazılım bulaşmış uygulamaları imzalamak için LG Electronics, Samsung, Revoview ve Media Tek gibi tanınmış Android akıllı telefon üreticileri tarafından kullanılan platform sertifikalarını kötüye kullanıyor. Bu, ilk olarak Google Android Güvenlik Ekibi’nin tersine mühendisi Łukasz Siewierski tarafından keşfedildi.
Siewierski’ye göre, kötü amaçlı bir uygulama, Android işletim sistemi ile en yüksek ayrıcalık seviyesini elde etmek için aynı sertifikayla imzalanırsa, güvenliği ihlal edilmiş cihazdan her türlü hassas veriyi çıkarmak mümkündür. Bunun nedeni, Android uygulamasının android.uid.system adlı “yüksek ayrıcalıklı bir kullanıcı kimliği” ile çalışmasıdır. Kullanıcı verilerine erişim izni gibi çeşitli sistem izinlerine sahiptir.
Google ayrıca, Android Partner Vulnerability Initiative (AVPI) sorun izleyicisinde de belirtilen, 10 platform sertifikası kullanılarak imzalanan kötü amaçlı yazılım örneklerinin bir listesini yayınladı:
com.attd.da
com.arlo.fappx
com.android.power
com.houla.quicken
com.metasploit.stage
com.sledsdffsjkh.Search
com.management.propaganda
com.sec.android.musicplayer
com.russian.signato.renewis
com.vantage.ectronic.cornmuni
Hackerlar Bu Sertifikaları Nasıl Elde Etti?
Bu veri toplama kampanyasını çevreleyen en büyük gizem, tehdit aktörlerinin bu sertifikalara nasıl eriştiğidir. Şirketle çalışan birinin bunları sızdırması mümkün olabilir.
Yukarıda belirtilen OEM’lerin platform sertifikalarıyla imzalanan uygulamalar, ek kötü amaçlı yazılım dağıtmak veya cihaz kullanıcılarının verilerini toplamak amacıyla HiddenAd truva atları, Metasploit, bilgi hırsızları ve kötü amaçlı yazılım bırakıcıları içeriyordu.
Google, etkilenen üreticileri bulguları hakkında bilgilendirdi ve onları bu sertifikaları döndürmeye çağırdı. Şirket, uygulamaların kendi aracılığıyla teslim edildiğine dair hiçbir kanıt olmadığını doğruladı. resmi Play Store.
“Google, sistem görüntülerini tarayan Build Test Suite’te kötü amaçlı yazılım için kapsamlı tespitler gerçekleştirdi. Google Play Protect ayrıca kötü amaçlı yazılımları da algılar. Bu kötü amaçlı yazılımın Google Play Store’da bulunduğuna veya bulunduğuna dair hiçbir gösterge yok. Google, her zaman olduğu gibi, kullanıcılara Android’in en son sürümünü çalıştırdıklarından emin olmalarını tavsiye ediyoruz” dedi.
Alakalı haberler
- Bahamut, Android Kullanıcı Kimlik Bilgilerini Çalmak İçin Sahte VPN Uygulamaları Kullanıyor
- Android’de Facebook Kimlik Bilgilerini Çalan Schoolyard Bully Kötü Amaçlı Yazılım
- 42.000 kimlik avı alanı, popüler markalar kılığında keşfedildi
- Crooks Hack Dünya Bankası SSL Sertifikası, Barındırılan PayPal Kimlik Avı Dolandırıcılığı
- Sahte Bankacılık Ödül Uygulamaları Android Telefonlara Bilgi Çalan RAT Yükler