Ініціатива Google Android Partner Vulnerability Initiative (APVI) публічно розкрила нову вразливість, яка торкнулася пристроїв від Samsung, LG, Xiaomi та інших виробників.
Суть проблеми полягає в тому, що у кількох OEM-виробників Android стався витік ключів для “підписів” платформи за межі їхніх відповідних компаній. Цей ключ використовується для того, щоб переконатися, що версія Android, встановлена на вашому пристрої, є легітимною, створеною виробником. Цей же ключ можна використовувати для підпису окремих програм.
За своєю природою Android довіряє будь-якому додатку, підписаному тим самим ключем, який використовується для підпису операційної системи. Зловмисник, який має такі ключі підпису додатків, зможе використовувати систему “загального ідентифікатора користувача” Android для надання шкідливого програмного забезпечення повних прав доступу на системному рівні на ураженому пристрої. По суті всі дані на ураженому пристрої можуть бути доступні зловмиснику.
Згідно з коротким поясненням Google, першим кроком для кожної постраждалої компанії є заміна (або ротація) ключів, щоб більше не використовувати ті, що були злиті.
Крім того, Google також закликав всіх виробників Android радикально зменшити частоту використання ключа платформи для підпису інших програм. Для запобігання потенційним проблемам безпеки підписувати таким чином слід лише ті додатки, яким необхідний найвищий рівень дозволів.
Google стверджує, що з моменту повідомлення про проблему в травні 2022 року Samsung і всі інші порушені компанії вже “вжили заходів щодо виправлення ситуації, щоб мінімізувати вплив на користувачів”. Невідомо, які поточні пристрої Android, якщо є, все ще вразливі для цього експлойта.