Tecnología

La clave de firma de la aplicación de Android de Samsung se filtró porque se usa para firmar malware

La clave de firma criptográfica del desarrollador es una de las partes más importantes de la seguridad de Android. Cada vez que Android actualiza una aplicación, la clave de firma de la aplicación anterior en su teléfono debe coincidir con la clave de la actualización que se está instalando. Las claves coincidentes aseguran que la actualización realmente provenga de la compañía que originalmente creó su aplicación y no sea un plan de secuestro malicioso. Si se filtrara la clave de firma del desarrollador, cualquiera podría distribuir actualizaciones de aplicaciones maliciosas y Android las instalaría felizmente, pensando que eran legítimas.

En Android, el proceso de actualización de la aplicación no solo se aplica a las aplicaciones descargadas de la tienda de aplicaciones, también puede actualizar las aplicaciones del sistema integradas de Google, el fabricante de su dispositivo y otras aplicaciones integradas. Si bien las aplicaciones descargadas tienen permisos y controles estrictos, las aplicaciones integradas del sistema Android tienen acceso a permisos mucho más potentes e invasivos y no están sujetas a las restricciones habituales de Play Store (es por eso que Facebook siempre paga por ser una aplicación integrada). Si un desarrollador externo alguna vez perdiera su clave de firma, sería malo. Si Fabricante de equipos originales de Android alguna vez perdiste una clave de firma de la aplicación del sistema, eso sería muy, muy malo.

¡Adivina lo que ha pasado! Łukasz Siewierski, miembro del equipo de seguridad de Android de Google, ha escrito sobre los detalles del rastreador de problemas de la Iniciativa de vulnerabilidad de socios de Android (AVPI). claves de certificado de plataforma filtradas que se utilizan activamente para firmar malware. El mensaje es solo una lista de claves, pero que pasa por APKMirror o Google VirusTotal el sitio da nombres a algunas de las claves comprometidas: Samsung, LGy Mediatech son grandes bateadores en la lista de claves filtradas junto con algunos OEM más pequeños como revisión y Szroco, que hace Tabletas Onn de Walmart.

Por alguna razón, las claves de firma de estas empresas se han filtrado a personas ajenas, y ahora no puede confiar en que las aplicaciones que dicen ser de estas empresas son en realidad de ellas. Para empeorar las cosas, las «claves de certificado raíz» que perdieron tienen algunos derechos de acceso serios. Para citar la publicación de AVPI:

El certificado de plataforma es un certificado de firma de aplicación que se utiliza para firmar la aplicación «android» en la imagen del sistema. La aplicación «Android» se ejecuta con una identificación de usuario altamente privilegiada, android.uid.system, y tiene permisos del sistema, incluido el acceso a los datos del usuario. Cualquier otra aplicación firmada con el mismo certificado puede declarar que quiere ejecutarse con el mismo nombre de usuario, lo que le otorga el mismo nivel de acceso al sistema operativo Android.

Editor técnico sénior de Esper, Mishaal Rahmancomo siempre, ha publicado gran informacion aquí en Twitter. Como él explica, hacer que una aplicación tome el mismo UID que el sistema Android no es del todo rootear, pero está cerca y permite que la aplicación salga de cualquier sandbox restringido de aplicaciones del sistema. Estas aplicaciones pueden comunicarse directamente con (o en el caso de malware, espiar) otras aplicaciones en su teléfono. Imagina una versión más desagradable de Google Play Services y te harás una idea.

READ  La interrupción de Xbox impide que algunos jugadores publiquen títulos digitales

Patricio Arocha

Especialista web. Evangelista de viajes. Alborotador. Fanático de la música amigable con los hipster. Experto en comida

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar
Cerrar