News

Gli hacker stanno usando certificati OEM originali per ottenere permessi di ROOT

È stato riscontrato che i certificati della piattaforma utilizzati dai fornitori di smartphone Android come Samsung, LG e MediaTek vengono utilizzati in modo improprio per firmare app dannose.

I risultati sono stati scoperti e segnalati per la prima volta giovedì dal reverse engineer di Google Łukasz Siewierski.

“Il certificato di una piattaforma viene utilizzato per firmare l’applicazione ‘Android’ sull’immagine di sistema“, si legge in un rapporto archiviato tramite l’Android Partner Vulnerability Initiative (AVPI).

L’applicazione ‘Android’ viene eseguita con un ID utente altamente privilegiato, ovvero android.uid.system, e detiene le autorizzazioni di sistema, comprese le autorizzazioni per accedere ai dati dell’utente.”

Ciò significa che un’applicazione dannosa firmata con lo stesso certificato può ottenere il massimo livello di privilegi del sistema operativo Android, consentendole di raccogliere tutti i tipi di informazioni sensibili da un dispositivo compromesso.

Di seguito è riportato l’elenco dei pacchetti di app Android dannosi che hanno abusato dei certificati:

  • com.russian.signato.renewis
  • com.sledsdffsjkh.Search
  • com.android.power
  • com.management.propaganda
  • com.sec.android.musicplayer
  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage
  • com.vantage.ectronic.cornmuni

Nessuno sa dove sono stati trovati

Non è chiaro come e dove siano stati trovati questi artefatti e se siano stati utilizzati come parte di una campagna malware attiva.

Una ricerca su VirusTotal mostra che i campioni identificati sono stati contrassegnati da soluzioni antivirus come adware HiddenAds, Metasploit, downloader e altri malware offuscati.

Quando è stato raggiunto per un commento, Google ha affermato di aver informato tutti i fornitori interessati di ruotare i certificati e che non ci sono prove che queste app siano state fornite tramite il Play Store.

“I partner OEM hanno prontamente implementato contromisure non appena abbiamo segnalato il problema“, ha dichiarato la società a The Hacker News in una nota.

Condividi
Pubblicato da
Simone Paciocco