安卓手机制造商的加密密钥被盗并用于恶意软件

当谷歌开发其开源的安卓移动操作系统时,制造安卓智能手机的 “原始设备制造商”,如三星,在为其设备定制和保护操作系统方面发挥了很大作用。但是,谷歌周四公开的一项新发现显示,供应商用于验证重要系统应用程序的一些数字证书最近遭到破坏,并且已经被滥用,为恶意的安卓应用程序盖上了批准章。

与几乎所有的计算机操作系统一样,谷歌的安卓系统是以 “特权 ”模式设计的,因此在你的安卓手机上运行的不同软件,从第三方应用程序到操作系统本身,都被尽可能地限制,只允许根据其需要进行系统访问。这使你正在玩的最新游戏不会悄悄地收集你所有的密码,同时允许你的照片编辑应用程序访问你的相机卷,整个结构是由加密密钥签署的数字证书强制执行的。如果密钥被破坏,攻击者可以授予自己的软件不应该有的权限。

谷歌在周四的一份声明中说,安卓设备制造商已经推出了缓解措施,旋转密钥并自动向用户的手机推送修复。而且,该公司已经增加了扫描器检测,以防止任何试图滥用被破坏的证书的恶意软件。谷歌表示,它没有发现该恶意软件潜入谷歌游戏商店的证据,这意味着它是通过第三方分销进行的。披露和协调解决这一威胁是通过一个被称为安卓合作伙伴漏洞计划的联盟进行的。

软件供应链安全公司Chainguard的研究员扎克-纽曼(Zack Newman)说:"虽然这次攻击相当糟糕,但我们这次很幸运,因为OEM可以通过运送空中设备更新来迅速轮换受影响的密钥,"该公司对该事件做了一些分析。

滥用被破坏的 “平台证书 ”将使攻击者能够创建被膏药化的恶意软件,并拥有广泛的权限,而不需要欺骗用户授予这些权限。谷歌的报告,由安卓逆向工程师?ukasz Siewierski撰写,提供了一些利用被盗证书的恶意软件样本。他们指出,三星和LG是其中两个证书被泄露的制造商,还有其他一些制造商。

安卓手机制造商的加密密钥被盗并用于恶意软件

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注