В новой публикации на веб-сайте Google Android Partner Vulnerability Initiative (APVI) была раскрыта уязвимость в системе безопасности, затрагивающая миллионы устройств Android. Используя эту уязвимость, хакеры могут внедрить вредоносное ПО в мобильные телефоны многих OEM-производителей, таких, как Samsung, LG и Xiaomi. Эти вредоносные программы могут получить самые высокие привилегии на системном уровне.
Ключом к этой дыре в безопасности является сертификат платформы. Сотрудник Google и реверс-инженер вредоносных программ Лукаш Северски, который первым обнаружил проблему с сертификатом, сказал, что эти сертификаты или ключи подписи определяют легитимность версии Android на устройстве. Поставщики также используют эти сертификаты для подписи приложений.
В то время как система Android назначает каждому приложению уникальный идентификатор пользователя (UID) при установке, приложения, использующие общий ключ подписи, также могут иметь общий UID и получать доступ к данным друг друга. И по замыслу приложения, подписанные тем же сертификатом, что и сама операционная система, получают те же привилегии.
Суть дела в том, что сертификаты платформы Android от некоторых OEM-производителей были переданы не тем людям. Эти сертификаты теперь используются для подписи вредоносных приложений с теми же разрешениями, что и у Android. Эти приложения могут получить привилегии системного уровня на уязвимых устройствах без вмешательства пользователя. Таким образом, когда Android-устройство заражено, оно может получить все данные без ведома пользователя.
