Google 資安研究團隊發現,有多個由 Android OEM 設備廠商使用,用來進行 Android 軟體數位簽章的憑證平台,遭到駭侵者利用於簽署內含惡意程式碼的 Android App。
OEM Android 設備廠商使用平台憑證來簽署位於裝置核心 ROM 映像檔中的 Android 作業系統程式碼與相關 App,並給予這些體較高的執行權限,例如撥打、轉接或掛斷電話、安裝或移除程式套件、收集裝置資訊等較敏感的操作。
Google Android 資安團隊的一位資安專家指出,一旦有任何內含惡意軟體的程式碼使用該平台憑證來進行簽署,即可取得相同的高執行權限;目前觀察到有不少惡意軟體程式套件都使用了來自 Samsung、LG、MediaTek 三家 Android OEM 廠商憑證平台來簽署,因此內含來自這些平台的 SHA 256 雜湊和數位簽章。
濫用這些憑證簽署平台的惡意軟體,包括背景廣告木馬、資訊竊取工具、進階惡意軟體酬載布署工具等。
目前無法得知這些平台的憑證簽署平台,為何會外洩而讓駭侵者得以濫用,目前仍不得而知;雖然 Google 已經通知這些簽署平台遭到濫用的廠商,要求廠商進行應對,並且調查遭濫用的原因,但據資安專業媒體 BleepingComputer 報導指出,Samsung 的軟體憑證簽署平台,仍可繼續用於核發憑證。
Google 表示將在 Android 系統與 Google Play Store 中加強對這類濫用簽署機制的惡意軟體,用戶也應使用最新版本的 Android 系統,以獲得相關防護能力。
- 參考連結
Issue 100: Platform certificates used to sign malware
https://bugs.chromium.org/p/apvi/issues/detail?id=100
Samsung, LG, Mediatek certificates compromised to sign Android malware
留言列表