close

多家企業所屬的Android軟體憑證遭駭侵者用於簽署惡意App

Google 資安研究團隊發現,有多個由 Android OEM 設備廠商使用,用來進行 Android 軟體數位簽章的憑證平台,遭到駭侵者利用於簽署內含惡意程式碼的 Android App。

OEM Android 設備廠商使用平台憑證來簽署位於裝置核心 ROM 映像檔中的 Android 作業系統程式碼與相關 App,並給予這些體較高的執行權限,例如撥打、轉接或掛斷電話、安裝或移除程式套件、收集裝置資訊等較敏感的操作。

Google Android 資安團隊的一位資安專家指出,一旦有任何內含惡意軟體的程式碼使用該平台憑證來進行簽署,即可取得相同的高執行權限;目前觀察到有不少惡意軟體程式套件都使用了來自 Samsung、LG、MediaTek 三家 Android OEM 廠商憑證平台來簽署,因此內含來自這些平台的 SHA 256 雜湊和數位簽章。

濫用這些憑證簽署平台的惡意軟體,包括背景廣告木馬、資訊竊取工具、進階惡意軟體酬載布署工具等。

目前無法得知這些平台的憑證簽署平台,為何會外洩而讓駭侵者得以濫用,目前仍不得而知;雖然 Google 已經通知這些簽署平台遭到濫用的廠商,要求廠商進行應對,並且調查遭濫用的原因,但據資安專業媒體 BleepingComputer 報導指出,Samsung 的軟體憑證簽署平台,仍可繼續用於核發憑證。

Google 表示將在 Android 系統與 Google Play Store 中加強對這類濫用簽署機制的惡意軟體,用戶也應使用最新版本的 Android 系統,以獲得相關防護能力。

  • 參考連結

Issue 100: Platform certificates used to sign malware

https://bugs.chromium.org/p/apvi/issues/detail?id=100

Samsung, LG, Mediatek certificates compromised to sign Android malware

https://www.bleepingcomputer.com/news/security/samsung-lg-mediatek-certificates-compromised-to-sign-android-malware/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()