در قلب این مشکل، آسیبپذیری مکانیزم اعتماد کلید پلتفرم اندروید قرار دارد که میتواند توسط مهاجمان مخرب مورد سوء استفاده قرار گیرد. از نظر طراحی، اندروید به هر برنامهای که از کلید امضای پلتفرم قانونی استفاده میکند، که برای امضای برنامههای اصلی سیستم استفاده میشود، از طریق سیستم شناسه کاربر مشترک اندروید، اعتماد میکند.
نقص امنیتی توسط Łukasz Siewierski کارمند Google آشکار شد (از طریق میشال رحمان اسپر). سیرویرسکی از طریق توییت های خود نشان داد که چگونه از گواهی های پلتفرم برای امضای برنامه های بدافزار در اندروید استفاده شده است.
مردم، این بد است. خیلی خیلی بد. هکرها و/یا خودیهای مخرب گواهیهای پلتفرم چندین فروشنده را فاش کردهاند. اینها برای امضای برنامه های سیستمی در بیلدهای اندروید، از جمله خود برنامه “اندروید” استفاده می شوند. از این گواهی ها برای امضای برنامه های مخرب اندروید استفاده می شود! https://t.co/lhqZxuxVR9
— میشال رحمان (@MishaalRahman) 1 دسامبر 2022
غول جستجو همچنین راههایی را برای شرکتهای آسیبدیده برای کاهش این مشکل پیشنهاد کرده است. اولین گام شامل استخراج کلیدهای امضای پلتفرم اندرویدی است که نشان داده شده اند به بیرون درز کرده اند و آنها را با کلیدهای امضای جدید جایگزین کنید. این شرکت همچنین از تمام تولیدکنندگان اندروید خواسته است تا استفاده مکرر از کلید پلتفرم را برای یک برنامه برای امضای سایر برنامه ها به شدت به حداقل برسانند.
با این حال، گوگل به صراحت لیستی از دستگاه ها یا OEM هایی را که تاکنون تحت تأثیر آسیب پذیری حیاتی در افشای عمومی خود قرار گرفته اند، ذکر نکرده است. با این وجود، این افشا شامل فهرستی از نمونه فایل های بدافزار است. طبق گزارش ها، این پلتفرم لیست گوشی های هوشمند آسیب دیده را تایید کرده است که شامل دستگاه هایی از سامسونگ، ال جی، مدیاتک، شیائومی و Revoview می شود.
به کاربران اندروید توصیه میشود که نسخههای میانافزار خود را به آخرین بهروزرسانیهای موجود بهروزرسانی کنند تا از نقصهای امنیتی احتمالی مانند آنچه توسط Google فاش شده در امان بمانند، و هنگام دانلود برنامهها از منابع شخص ثالث مراقب باشند.
ابتکار آسیبپذیری شریک اندروید گوگل، در یک اعتراف به نشت امنیتی بزرگ، آسیبپذیری کلیدی جدیدی را فاش کرده است که گوشیهای هوشمند اندرویدی برندهای بزرگی مانند سامسونگ و الجی را تحت تأثیر قرار داده است. به دلیل لو رفتن کلیدهای امضای مورد استفاده توسط OEM های اندروید، برنامه های تقلبی یا بدافزارها می توانند خود را به عنوان برنامه های “معتمد” پنهان کنند. این مشکل قبلاً در ماه می سال جاری گزارش شده بود و به دنبال آن چندین شرکت از جمله سامسونگ اقداماتی را برای کنترل این آسیب پذیری انجام دادند.
به گفته گوگل، این مشکل برای اولین بار در ماه می گزارش شد. از آن زمان، سامسونگ و سایر شرکتهای آسیبدیده قبلاً اقدامات اصلاحی را برای کاهش و به حداقل رساندن آسیبپذیریهای موجود انجام دادهاند. با این حال، طبق گفته پلیس Android، برخی از کلیدهای آسیبپذیری که در این افشا فهرست شده بودند، اخیراً برای برنامههای گوشیهای سامسونگ و الجی که در APK Mirror آپلود شدهاند، استفاده شدهاند.
یکی دیگر از بخش های هشدار دهنده در مورد این آسیب پذیری این است که لزوماً نیازی به نصب یک برنامه جدید یا “ناشناخته” توسط کاربر ندارد. کلیدهای پلتفرم فاش شده همچنین می توانند برای امضای برنامه های قابل اعتماد رایج مانند برنامه Bixby در دستگاه سامسونگ استفاده شوند. کاربری که چنین برنامهای را از یک وبسایت شخص ثالث دانلود کرده است، هنگام نصب آن روی گوشی هوشمند خود هشداری نمیبیند، زیرا گواهی با گواهی موجود در سیستمش مطابقت دارد.
گوگل در بیانیهای به BleepingComputer گفت: “شریکهای OEM بلافاصله اقدامات کاهشی را بهمحض گزارش سازش کلیدی اجرا کردند. کاربران نهایی توسط کاهشهای کاربری که توسط شرکای OEM اجرا میشوند محافظت میشوند.”
با این حال، سازندگان تجهیزات اصلی اندروید (OEMs) کلیدهای امضای پلتفرم آنها به بیرون درز کرده است که به سازندگان بدافزار اجازه می دهد مجوزهای سطح سیستم را در دستگاه مورد نظر به دست آورند. با این کار تمام دادههای کاربر در دستگاه خاص در دسترس مهاجم قرار میگیرد، درست مانند یک برنامه سیستمی دیگر از سازنده که با همان گواهی امضا شده است.