کلیدهای رمزگذاری سازندگان گوشی اندروید به سرقت رفت و در بدافزار استفاده شد


در حالی که گوگل توسعه می دهد سیستم عامل متن باز آندروید آن، «سازندگان تجهیزات اصلی» که گوشی‌های هوشمند اندرویدی را تولید می‌کنند، مانند سامسونگ، نقش بزرگی در طراحی و ایمن کردن سیستم‌عامل دستگاه‌های خود دارند. اما یافته جدیدی که گوگل در روز پنجشنبه منتشر کرد نشان می‌دهد که تعدادی از گواهی‌های دیجیتالی که توسط فروشندگان برای اعتبارسنجی برنامه‌های کاربردی سیستم حیاتی استفاده می‌شوند، اخیراً به خطر افتاده و قبلاً برای گذاشتن مهر تأیید بر برنامه‌های مخرب اندروید مورد سوء استفاده قرار گرفته‌اند.

همانند تقریباً هر سیستم عامل رایانه ای، اندروید گوگل با یک مدل «امتیاز» طراحی شده است، بنابراین نرم افزارهای مختلف در حال اجرا بر روی تلفن اندرویدی شما، از برنامه های شخص ثالث گرفته تا خود سیستم عامل، تا حد امکان محدود شده و فقط به سیستم اجازه دسترسی دارند. بر روی نیازهای آنها این باعث می‌شود آخرین بازی‌ای که در حال انجام آن هستید را از جمع‌آوری بی‌صدا همه گذرواژه‌های شما دور نگه دارد، در حالی که به برنامه ویرایش عکس شما اجازه می‌دهد به رول دوربین شما دسترسی پیدا کند و کل ساختار توسط گواهی‌های دیجیتال امضا شده با کلیدهای رمزنگاری اجرا می‌شود. اگر کلیدها به خطر بیفتند، مهاجمان می‌توانند مجوزهای نرم‌افزاری را که نمی‌تواند داشته باشد، اعطا کنند.

گوگل در بیانیه‌ای در روز پنج‌شنبه اعلام کرد که سازندگان دستگاه‌های اندرویدی ابزارهای کاهش‌دهنده، کلیدهای چرخشی و رفع خودکار گوشی‌های کاربران را ارائه کرده‌اند. و این شرکت شناسایی اسکنر را برای هر بدافزاری که سعی در سوء استفاده از گواهی های به خطر افتاده را اضافه کرده است. گوگل اعلام کرد که شواهدی مبنی بر نفوذ این بدافزار به فروشگاه Google Play پیدا نکرده است، به این معنی که از طریق توزیع شخص ثالث وارد بازار شده است. افشا و هماهنگی برای مقابله با تهدید از طریق کنسرسیومی به نام Android Partner Vulnerability Initiative صورت گرفت.

زک نیومن، محقق در شرکت امنیتی زنجیره تامین نرم‌افزار Chainguard، می‌گوید: «در حالی که این حمله بسیار بد است، این بار ما خوش شانس بودیم زیرا OEM‌ها می‌توانند به سرعت کلیدهای آسیب‌دیده را با ارسال به‌روزرسانی‌های دستگاه‌های هوایی بچرخانند.» تحلیل حادثه

سوء استفاده از «گواهی‌های پلتفرم» به خطر افتاده به مهاجم اجازه می‌دهد تا بدافزاری ایجاد کند که دارای مجوزهای گسترده است بدون اینکه نیازی به فریب کاربران برای اعطای آن‌ها داشته باشد. گزارش گوگل توسط مهندس معکوس اندروید، Łukasz Siewierski، نمونه‌های بدافزاری را ارائه می‌کند که از گواهی‌های سرقت شده استفاده می‌کردند. آنها به سامسونگ و ال‌جی به عنوان دو تولیدکننده اشاره می‌کنند که گواهینامه‌هایشان در میان سایرین به خطر افتاده است.

ال‌جی درخواستی از WIRED برای اظهار نظر برنگرداند. سامسونگ در بیانیه‌ای این سازش را پذیرفت و گفت: «هیچ رویداد امنیتی شناخته‌شده‌ای در رابطه با این آسیب‌پذیری احتمالی وجود نداشته است».

اگرچه به نظر می‌رسد گوگل قبل از بروز مشکل به این موضوع پی برده است، اما این حادثه بر این واقعیت تأکید می‌کند که اقدامات امنیتی می‌توانند به نقطه‌ای منفرد تبدیل شوند، اگر با دقت و شفافیت هرچه بیشتر طراحی نشده باشند. خود گوگل سال گذشته مکانیزمی به نام Google Binary Transparency را معرفی کرد که می تواند به عنوان بررسی این باشد که آیا نسخه اندرویدی که روی دستگاه اجرا می شود، نسخه مورد نظر و تایید شده است یا خیر. سناریوهایی وجود دارد که در آن مهاجمان می‌توانند به قدری به سیستم هدف دسترسی داشته باشند که می‌توانند چنین ابزارهای گزارشگری را شکست دهند، اما ارزش استقرار آن‌ها برای به حداقل رساندن آسیب و علامت‌گذاری رفتار مشکوک در بسیاری از موقعیت‌ها را دارند.

مثل همیشه، بهترین دفاع برای کاربران این است که نرم افزار را در تمام دستگاه های خود به روز نگه دارند.

نیومن از Chainguard می گوید: “واقعیت این است که ما شاهد ادامه حمله مهاجمان به دنبال این نوع دسترسی خواهیم بود. اما این چالش منحصر به اندروید نیست و خبر خوب این است که مهندسان امنیتی و محققان پیشرفت قابل توجهی در ساخت راه حل هایی داشته اند که از آن جلوگیری می کند. ، شناسایی و بازیابی از این حملات را فعال کنید.”