Kunci sertifikat platform Android yang dikompromikan dari pembuat perangkat termasuk Samsung, LG dan Mediatek digunakan untuk menandatangani malware dan menyebarkan spyware, di antara kejahatan perangkat lunak lainnya.
Googler Lukasz Siewierski ditemukan dan dilaporkan masalah keamanan dan itu adalah doozy yang memungkinkan aplikasi berbahaya yang ditandatangani dengan salah satu sertifikat yang dikompromikan untuk mendapatkan tingkat hak istimewa yang sama dengan sistem operasi Android — pada dasarnya akses tanpa batas ke perangkat korban.
Seperti yang dijelaskan dalam Prakarsa Kerentanan Mitra Android (AVPI) peringatan keamanan:
Juga dalam peringatan, Google mencantumkan 10 sampel malware dan hash SHA256 terkait, dan merekomendasikan semua vendor perangkat pintar yang terpengaruh untuk merotasi sertifikat platform mereka.
“Kami juga sangat menyarankan untuk meminimalkan jumlah aplikasi yang ditandatangani dengan sertifikat platform, karena ini akan secara signifikan menurunkan biaya perputaran kunci platform jika kejadian serupa terjadi di masa mendatang,” kata AVPI.
Menjalankan berbagai sampel malware melalui VirusTotal Google menunjukkan bahwa vendor keamanan pihak ketiga telah menandai sampel tersebut sebagai pencuri info, pengunduh, backdoors, malware HiddenAds, Metasploit, malware dropper, dan Trojan lainnya.
“Mitra OEM segera menerapkan langkah-langkah mitigasi segera setelah kami melaporkan kompromi utama,” kata juru bicara Google Pendaftaran. “Pengguna akhir akan dilindungi oleh mitigasi pengguna yang diterapkan oleh mitra OEM.”
Build Test Suite Google, yang memindai gambar sistem, bersama dengan Google Play Protect dapat mendeteksi malware, menurut juru bicara.
“Tidak ada indikasi malware ini ada atau ada di Google Play Store,” tambah juru bicara itu. “Seperti biasa, kami menyarankan pengguna untuk memastikan mereka menjalankan Android versi terbaru.”
Namun, pada 1 Desember, beberapa sertifikat yang bocor adalah masih digunakan untuk menandatangani aplikasi, menurut pakar keamanan Android Mishaal Rahman.
“Kamu tidak dapat mempercayai bahwa sebuah aplikasi telah ditandatangani oleh vendor/OEM yang sah jika sertifikat platform mereka bocor,” dia diperingatkan. “Jangan sideload aplikasi tersebut dari situs pihak ketiga/di luar Google Play atau toko OEM tepercaya.” ®