La clave de firma criptográfica de un desarrollador es uno de los principales pilares de la seguridad de Android. Cada vez que Android actualiza una aplicación, la clave de firma de la aplicación anterior en su teléfono debe coincidir con la clave de la actualización que está instalando. Las claves coincidentes aseguran que la actualización realmente provenga de la compañía que originalmente creó su aplicación y no sea un plan de secuestro malicioso. Si se filtrara la clave de firma de un desarrollador, cualquiera podría distribuir actualizaciones de aplicaciones maliciosas y Android las instalaría felizmente, pensando que son legítimas.
En Android, el proceso de actualización de la aplicación no es solo para las aplicaciones descargadas de una tienda de aplicaciones, también puede actualizar las aplicaciones integradas del sistema creadas por Google, el fabricante de su dispositivo y cualquier otra aplicación integrada. Si bien las aplicaciones descargadas tienen un conjunto estricto de permisos y controles, las aplicaciones integradas del sistema Android tienen acceso a permisos mucho más poderosos e invasivos y no están sujetas a las limitaciones habituales de Play Store (es por eso que Facebook siempre paga para ser una aplicación integrada). ). Si un desarrollador externo alguna vez perdiera su clave de firma, sería malo. Si una Fabricante de equipos originales de Android alguna vez perdiera la clave de firma de la aplicación del sistema, sería muy, muy malo.
¡Adivina lo que ha pasado! Łukasz Siewierski, miembro del equipo de seguridad de Android de Google, tiene una publicación en el rastreador de problemas de la Iniciativa de vulnerabilidad de socios de Android (AVPI) que detalla las claves de certificado de plataforma filtradas que se utilizan activamente para firmar malware. La publicación es solo una lista de las claves, pero ejecutar cada una a través de APKMirror o el sitio VirusTotal de Google pondrá nombres a algunas de las claves comprometidas: Samsung, LG y Mediatek son los grandes bateadores en la lista de claves filtradas, junto con algunas OEM más pequeños como Revoview y Szroco, que fabrica las tabletas Onn de Walmart.
Estas empresas de alguna manera filtraron sus claves de firma a personas ajenas, y ahora no puede confiar en que las aplicaciones que afirman ser de estas empresas son realmente de ellas. Para empeorar las cosas, las «claves de certificado de plataforma» que perdieron tienen algunos permisos serios. Para citar la publicación de AVPI:
Un certificado de plataforma es el certificado de firma de la aplicación que se usa para firmar la aplicación «android» en la imagen del sistema. La aplicación «android» se ejecuta con una identificación de usuario altamente privilegiada, android.uid.system, y tiene permisos del sistema, incluidos los permisos para acceder a los datos del usuario. Cualquier otra aplicación firmada con el mismo certificado puede declarar que quiere ejecutarse con la misma identificación de usuario, dándole el mismo nivel de acceso al sistema operativo Android.
El editor técnico sénior de Esper, Mishaal Rahman, como siempre, ha estado publicando gran información sobre esto en Twitter. Como él explica, hacer que una aplicación tome el mismo UID que el sistema Android no es un acceso de root, pero está cerca y permite que una aplicación salga de cualquier sandboxing limitado que exista para las aplicaciones del sistema. Estas aplicaciones pueden comunicarse directamente con (o, en el caso de malware, espiar) otras aplicaciones en su teléfono. Imagina una versión más malvada de Google Play Services y te haces una idea.