Chứng chỉ nền tảng được sử dụng bởi các nhà cung cấp điện thoại thông minh Android như Samsung, LG và MediaTek đã bị phát hiện lạm dụng để ký các ứng dụng độc hại.
Những phát hiện này lần đầu tiên được phát hiện và báo cáo bởi kỹ sư đảo ngược Łukasz Siewierski của Google vào thứ Năm.
"Chứng chỉ nền tảng là chứng chỉ ký ứng dụng được sử dụng để ký ứng dụng 'android' trên hình ảnh hệ thống," một báo cáo được nộp thông qua Sáng kiến lỗ hổng đối tác Android (AVPI) viết.
"Ứng dụng 'android' chạy với id người dùng có đặc quyền cao - android.uid.system - và giữ quyền của hệ thống, bao gồm quyền truy cập dữ liệu người dùng."
Điều này có nghĩa là một ứng dụng lừa đảo được ký bằng cùng một chứng chỉ có thể đạt được mức đặc quyền cao nhất như hệ điều hành Android, cho phép nó thu thập tất cả các loại thông tin nhạy cảm từ một thiết bị bị xâm nhập.
Dưới đây là danh sách các gói ứng dụng Android độc hại đã lạm dụng chứng chỉ -
- com.russian.signato.renewis
- com.sledsdffsjkh.Tìm kiếm
- com.android.sức mạnh
- com.management.tuyên truyền
- com.sec.android.máy nghe nhạc
- com.houla.nhanh chóng
- com.attd.da
- com.arlo.fappx ·
- com.metasploit.stage
- com.vantage.ectronic.cornmuni
Một tìm kiếm trên VirusTotal cho thấy các mẫu được xác định đã được các giải pháp chống vi-rút gắn cờ là phần mềm quảng cáo HiddenAds, Metasploit, kẻ đánh cắp thông tin, trình tải xuống và phần mềm độc hại bị xáo trộn khác.
Khi được đưa ra bình luận, Google cho biết họ đã thông báo cho tất cả các nhà cung cấp bị ảnh hưởng để xoay vòng chứng chỉ và không có bằng chứng nào cho thấy các ứng dụng này được phân phối thông qua Cửa hàng Play.
"Các đối tác OEM đã nhanh chóng thực hiện các biện pháp giảm thiểu ngay sau khi chúng tôi báo cáo sự thỏa hiệp quan trọng", công ty nói với The Hacker VN trong một tuyên bố. "Người dùng cuối sẽ được bảo vệ bởi các biện pháp giảm thiểu người dùng do các đối tác OEM thực hiện."
"Google đã triển khai phát hiện rộng rãi phần mềm độc hại trong Build Test Suite, quét hình ảnh hệ thống. Google Play Protect cũng phát hiện phần mềm độc hại. Không có dấu hiệu nào cho thấy phần mềm độc hại này đã hoặc đang có trên Cửa hàng Google Play. Như mọi khi, chúng tôi khuyên người dùng nên đảm bảo rằng họ đang chạy phiên bản Android mới nhất".