La clave de firma criptográfica de un desarrollador es uno de los principales pilares de la seguridad de Android. Cada vez que Android actualiza una aplicación, la clave de firma de la aplicación anterior en su teléfono debe coincidir con la clave de la actualización que está instalando. Las claves coincidentes aseguran que la actualización realmente provenga de la empresa que creó originalmente su aplicación y no sea un plan de secuestro malicioso. Si se filtrara la clave de firma de un desarrollador, cualquiera podría distribuir actualizaciones de aplicaciones maliciosas y Android las instalaría felizmente, pensando que son legítimas.

En Android, el proceso de actualización de la aplicación no es solo para las aplicaciones descargadas de una tienda de aplicaciones, también puede actualizar las aplicaciones integradas del sistema creadas por Google, el fabricante de su dispositivo y cualquier otra aplicación integrada. Si bien las aplicaciones descargadas tienen un conjunto estricto de permisos y controles, las aplicaciones integradas del sistema Android tienen acceso a permisos mucho más poderosos e intrusivos y no están sujetas a las limitaciones habituales de Play Store (razón por la cual Facebook siempre paga para ser una aplicación integrada). ). Si un desarrollador externo perdiera su clave de suscripción, sería malo. Si un Fabricante de equipos originales de Android ya perdí la clave de firma de la aplicación del sistema, sería muy, muy malo.

¡Adivina qué pasó! Łukasz Siewierski, miembro del equipo de seguridad de Android de Google, tiene una publicación en el rastreador de problemas de la Iniciativa de vulnerabilidad de socios de Android (AVPI) que detalla claves de certificado de plataforma filtradas que se utilizan activamente para firmar malware. La publicación es solo una lista de las claves, pero revisando cada una espejo apk o Google VirusTotal el sitio pondrá nombres a algunas de las claves comprometidas: Samsung🇧🇷 lgy mediatek son los grandes bateadores en la lista de claves filtradas, junto con algunos OEM más pequeños como revisión revisión y Szroco, que fabrica Tabletas Walmart Onn🇧🇷

Estas empresas de alguna manera filtraron sus claves de firma a extraños, y ahora no puede confiar en que las aplicaciones que afirman ser de estas empresas son en realidad suyas. Para empeorar las cosas, las «claves de certificado de plataforma» que perdieron tienen algunos permisos serios. Para citar la publicación de AVPI:

Un certificado de plataforma es el certificado de firma de la aplicación que se usa para firmar la aplicación «android» en la imagen del sistema. La aplicación «android» se ejecuta con una identificación de usuario altamente privilegiada, android.uid.system, y tiene permisos del sistema, incluidos los permisos para acceder a los datos del usuario. Cualquier otra aplicación firmada con el mismo certificado puede declarar que quiere ejecutarse con el mismo ID de usuario, lo que le otorga el mismo nivel de acceso al sistema operativo Android.