Google Android 合作夥伴漏洞計劃(APVI)網站上有一個關於影響數百萬 Android 裝置安全漏洞的新帖子。黑客能夠通過該漏洞在諸多 Android 系統 OEM 廠商手機中植入惡意軟件並且同時獲取系統最高權限。
Folks, this is bad. Very, very bad. Hackers and/or malicious insiders have leaked the platform certificates of several vendors. These are used to sign system apps on Android builds, including the “android” app itself. These certs are being used to sign malicious Android apps! https://t.co/lhqZxuxVR9
— Mishaal Rahman (@MishaalRahman) December 1, 2022
Google 員工和惡意軟件逆向工程師盧卡茲・塞維爾斯基(Łukasz Siewierski)最先發現該漏洞的關鍵是平台證書的問題,他表示裝置上 Android 版本的合法性取決於這些證書或簽名密鑰。供應商也使用這些證書來簽署應用程式。
在用戶安裝每個應用程式時,Android 系統都會給用戶安裝的每個程式分配一個獨特的用戶 ID(UID),該應用程式簽署的密鑰同時可以共同享有該 UID,對數據進行訪問。與操作系統本身使用相同證書簽署的應用程式也擁有一樣的特權。
而問題的關鍵是,有些 OEM 廠商的 Android 平台證書洩露給了「心術不正」的人。惡意應用程式通過簽署這些洩露的證書,在不用通過用戶的確認的情況下直接擁有與 Android 系統一樣的權力,並且可以直接讀取用戶的全部數據。