Dlhodobá závažná zraniteľnosť nechala milióny telefónov so systémom Android otvorené krádeži údajov.
Podľa tweetu Łukasza Siewierského z Googlu sa hackerom a „zlomyseľným insiderom“ podarilo získať podpisové kľúče platformy, ktoré používajú viacerí výrobcovia systému Android na podpisovanie systémových aplikácií používaných v zariadeniach so systémom Android. Tieto podpisové kľúče sa používajú na zaručenie legálnosti aplikácií a dokonca aj verzie operačného systému Android, ktorá beží v telefóne. Dlhodobá zraniteľnosť sa týkala spoločností LG, Samsung a ďalších. V systéme Android je zapracovaný systém, ktorý dôveruje aplikáciám podpísaným rovnakým kľúčom, aký sa používa na overenie samotného operačného systému. Môžete teda vidieť, v čom je problém.
Zlý hacker, ktorý má kontrolu nad týmito kľúčmi, by mohol dosiahnuť, aby systém Android „dôveroval“ aplikáciám so škodlivým softvérom na úrovni systému. To je ako keby ste zlodejovi dali so súhlasom kľúče od domu a auta. Všetky údaje v zraniteľných zariadeniach by mohli byť ohrozené. A niektoré z týchto kľúčov sa používajú na podpisovanie bežných aplikácií nainštalovaných z obchodu Google Play Store alebo sideloadovaných z iných obchodov s aplikáciami pre Android. V súvislosti s touto zraniteľnosťou netreba chodiť okolo horúcej kaše. Dlhodobá závažná zraniteľnosť umožnila krádež údajov v miliónoch telefónov so systémom Android.
Rahman tweetuje, že uniknuté podpisové kľúče nemožno použiť na inštaláciu aktualizácií over-the-air, ktoré sú ohrozené. A dodáva, že systém Play Store Protect by mohol označiť aplikácie podpísané uniknutými kľúčmi ako potenciálne škodlivé. Hoci všetky zdroje týchto kľúčov ešte neboli identifikované, medzi menované spoločnosti patria napr: Samsung, LG, MediaTek, Szroco (spoločnosť, ktorá vyrába tablety Walmart Onn) a Revoview. Google uvádza, že zraniteľnosť jej bola nahlásená v máji tohto roku a že dotknuté spoločnosti „prijali nápravné opatrenia na minimalizáciu vplyvu na používateľov“. Nie je to práve znamenie „všetko čisté“, najmä vo svetle správy, že APK Mirror veľmi nedávno narazil na niektoré zraniteľné podpisové kľúče v aplikáciách pre Android od Samsungu.
Google vo svojom vyhlásení uvádza, že používatelia systému Android boli chránení prostredníctvom funkcie Google Play Store Protect a prostredníctvom opatrení prijatých výrobcami. Spoločnosť uviedla, že toto zneužitie nemalo vplyv na žiadne aplikácie stiahnuté z obchodu Google Play Store. Hovorca Googlu uviedol: „Partneri OEM okamžite po nahlásení kompromitácie kľúča zaviedli opatrenia na zmiernenie následkov. Koncoví používatelia budú chránení zmierňujúcimi opatreniami pre používateľov, ktoré implementovali partneri OEM. Google implementoval rozsiahle detekcie škodlivého softvéru v balíku Build Test Suite, ktorý skenuje obrazy systému. Služba Google Play Protect tiež deteguje škodlivý softvér. Nič nenasvedčuje tomu, že by tento malvér bol v obchode Google Play. Ako vždy používateľom odporúčame, aby sa uistili, že používajú najnovšiu verziu systému Android.“
Google odporúča, aby si dotknuté spoločnosti vymenili aktuálne používané podpisové kľúče a prestali používať tie, ktoré unikli. Navrhuje tiež, aby každá firma iniciovala vyšetrovanie s cieľom pochopiť, ako k úniku kľúčov došlo. Dúfajme, že sa tým zabráni tomu, aby sa niečo podobné v budúcnosti opakovalo. Firma tiež odporúča, aby spoločnosti používali spečatovacie kľúče pre minimálny počet aplikácií, aby sa znížil počet potenciálnych únikov v budúcnosti. Čo teda môže urobiť ako majiteľ prípadne postihnutého telefónu so systémom Android? Uistite sa, že telefón používa najnovšiu verziu systému Android, a nainštalujte všetky bezpečnostné aktualizácie hneď ako sú dostupné. Koho zaujíma, že tieto aktualizácie neprinášajú vzrušujúce nové funkcie, pretože ich úlohou je zabezpečiť, aby používateľské zariadenie nebolo ohrozené. A používatelia systému Android by sa mali zdržať sideloadingu aplikácií. To je, keď si nainštalujete aplikáciu pochádzajúcu z obchodu s aplikáciami tretej strany.
Desivé je, že táto zraniteľnosť je tu zrejme už roky. Samsung na to dokonca upozorňuje vo svojom vyhlásení, v ktorom sa uvádza: „Samsung berie bezpečnosť zariadení Galaxy vážne. Od roku 2016 sme po upozornení na tento problém vydali bezpečnostné záplaty a nie sú známe žiadne bezpečnostné incidenty týkajúce sa tejto potenciálnej zraniteľnosti. Používateľom vždy odporúčame, aby svoje zariadenia aktualizovali pomocou najnovších softvérových aktualizácií.“