מהנדס אבטחה העובד ביוזמת ה-APVI (ר”ת Android Partner Vulnerability Initiative) של גוגל (Google) לאיתור חולשות אבטחה במכשירי אנדרואיד חשף כי הדלפה של “מפתחות חתימה” (signing keys) השייכים למספר יצרני סלולר אפשרה ליצור נוזקות הנראות כמו אפליקציות תקינות על ידי שימוש במפתחות המודלפים, כאשר בין היצרנים המושפעים מכך אפשר למצוא את סמסונג, LG, שיאומי ועוד.
כחלק מפיתוח כל אפליקציית אנדרואיד וההפצה שלה למשתמשים, האפליקציה עוברת תהליך אישור באמצעות חתימה דיגיטלית, המאפשרת למערכת לדעת כי מדובר באפליקציה תקינה, שאושרה על ידי גורם ספציפי כמו גוגל עצמה או היצרן.
כאן למעשה נוצרת הבעיה החדשה שאותרה על ידי לוקאש סיווירסקי (Łukasz Siewierski), כשאוסף מפתחות חתימה השייך ליצרני סלולר דלף לרשת וזוהה באופן חלקי כמפתחות של סמסונג, LG, מדיה-טק, szroco ו-Revoview.
באמצעות המפתחות הללו, מפתחי נוזקות יכולים לחתום דיגיטלית על הנוזקה שלהם על מנת שתיראה אמינה ותעקוף את ההגנות של גוגל בזמן ההתקנה, זאת מאחר והמערכת מאמינה כי מדובר באפליקציה ממקור אמין.
New APVI entry: platform certificates used to sign malware
Found by yours truly 🙂https://t.co/qiFMJW111A
— Łukasz (@maldr0id) November 30, 2022
נכון להיום, גוגל הנחתה את יצרני הסלולר להחליף את מפתחות החתימה שלהם על מנת להפוך את המפתחות המודלפים לחסרי תועלת ולהימנע מלהשתמש במפתחות שלהם על מנת לאשר אפליקציות צד ג’ אחרות ולמנוע זליגה נוספת של מפתחות.
בתגובה לאתר 9to5google, דובר של חברת גוגל מסר כי אין אינדיקציה לכך כי נוזקה הצליחה להשתמש במפתחות המודלפים על מנת להגיע לחנות ה-Play Store הרשמית של החברה.
כמו בכל פרצת אבטחה אחרת, יש לזכור כי מומלץ להוריד אפליקציות לאנדרואיד רק מהחנות הרשמית על מנת להימנע מהתקנת נוזקות, ובנוסף להתקין עדכוני מערכת הכוללים בתוכם עדכוני אבטחה למערכת.
