Un’importante leak ha portato alla creazione di app malware che possono accedere all’intero sistema operativo Android su dispositivi Samsung, LG, citandone alcuni.
Come condiviso da Googler Łukasz Siewierski (tramite Mishaal Rahman), l’Android Partner Vulnerability Initiative (APVI) di Google ha rivelato pubblicamente una nuova vulnerabilità che interessa i dispositivi Samsung, LG principalmente.
Il nocciolo del problema è che gli OEM Android hanno fatto trapelare le chiavi di firma della propria piattaforma al di fuori delle rispettive società. Questa chiave viene utilizzata per garantire che la versione di Android in esecuzione sul dispositivo sia legittima, quindi creata dal produttore. La stessa chiave può essere utilizzata anche per firmare singole app.
Per impostazione predefinita, Android considera attendibile qualsiasi app firmata con la stessa chiave utilizzata per firmare il sistema operativo. Un utente malintenzionato con quelle chiavi sarebbe in grado di utilizzare il sistema per concedere al malware autorizzazioni complete.
In particolare, questa vulnerabilità di Android non si verifica solo durante l’installazione di un’app nuova o sconosciuta. Poiché in alcuni casi queste chiavi di piattaforma trapelate vengono anche utilizzate per firmare app comuni, inclusa l’app Bixby su alcuni telefoni Samsung. Questo metodo funzionerebbe indipendentemente dal fatto che un’app provenga originariamente dal Play Store, dal Galaxy Store o sia stata trasferita lateralmente.
Ecco le società interessate
La divulgazione pubblica di Google non indica quali dispositivi o OEM sono stati interessati, ma mostra l’hash del malware come esempio. Utilmente, ciascuno dei file è stato caricato su VirusTotal, che spesso rivela anche il nome dell’azienda interessata. Con ciò, sappiamo che sono trapelate le chiavi delle seguenti società (sebbene alcune chiavi non siano state ancora identificate):
- SAMSUNG
- LG
- Mediatec
- szroco (creatori delle tavolette Onn di Walmart)
- Revoca
Secondo la breve spiegazione del problema da parte di Google, il primo passo è che ogni azienda interessata sostituisca le chiavi di firma della propria piattaforma Android per non utilizzare più quelle trapelate. È comunque buona norma farlo regolarmente, per ridurre al minimo i danni di potenziali perdite future.