据报道,Android证书已在线泄露,使数百万台设备面临恶意软件攻击的风险。一个好处是泄漏不会影响所有Android用户,但三星和LG用户不应该因为听到这个消息而感到高兴。三星和LG用户以及所有使用联发科芯片组的智能手机都有受到此恶意软件影响的风险。
目前,谷歌员工和恶意软件逆向工程师Lukasz Siewierski报告说,各种Android OEM的证书是公开发布的。恶意行为者可能会使用这些密钥在消费者的智能手机上安装恶意软件。这可能已用于用恶意软件感染手机。此登录密钥具有最高级别的操作系统权限,这很重要,因为这意味着恶意行为者可以在 Google、设备制造商或应用开发者不知情的情况下插入恶意软件。从理论上讲,如果客户从第三方网站下载更新,则不良行为者可以在充当合法应用程序更新的同时注入恶意软件。
用于对系统映像上的“android”应用程序进行签名的应用程序签名证书称为平台证书。“android”程序使用极其特权的用户ID“android.uid.system”执行,并可以访问用户数据以及其他系统权限。根据谷歌的一篇博客文章,对Android操作系统的相同级别的访问可用于任何其他获得相同证书认证的程序。
值得庆幸的是,还有一些希望。Android安全团队已经向受影响的企业发出了该问题的警报。这家科技巨头还建议受影响的企业“通过用一组新的公钥和私钥替换平台证书来轮换平台证书”。此外,根据XDA开发人员的说法,三星已经意识到这个问题一段时间了,并解决了这个漏洞。该公司在该出版物的一份声明中补充说:“自2016年以来,我们在意识到这个问题后就部署了安全修复程序,并且没有关于此可能漏洞的已知安全事件。
应用程序签名行为是 Android 操作系统如何为外行保护手机的关键组成部分。此过程可确保只有信誉良好的开发人员才能为客户的手机提供软件升级。此过程需要一个属于应用开发人员的唯一登录密钥,并且始终保持私有,以便添加额外的保护层。
标签:
版权声明:本文由用户上传,如有侵权请联系删除!