Ключът за криптографско подписване на програмиста е един от най-важните стълбове на сигурността на Android. Всеки път, когато Android актуализира приложение, ключът за подписване на старото приложение на вашия телефон трябва да съвпада с ключа за актуализацията, която инсталирате. Съответстващите ключове гарантират, че актуализацията действително идва от компанията, която първоначално е създала вашето приложение, и не е злонамерена схема за отвличане. Ако ключът за подписване на програмист изтече, всеки може да разпространява злонамерени актуализации на приложения и Android ще се радва да ги инсталира, смятайки, че са легитимни.
В Android процесът на актуализиране на приложения не е ограничен само до приложения, изтеглени от App Store, но също така и пакетни системни приложения, създадени от Google, производителя на вашето устройство и всякакви други пакетни приложения. Докато изтеглените приложения имат строг набор от разрешения и контроли, пакетните приложения за Android имат достъп до по-мощни и инвазивни разрешения и не са предмет на обичайните ограничения на Play Store (поради което Facebook винаги настоява да бъде пакетно приложение). Ако разработчик на трета страна загуби ключа си за подписване, това би било лошо. ако беше Android OEM Загубих ключа за подписване на системното приложение, би било много лошо.
Познай какво стана! Łukasz Siewierski, член на екипа за сигурност на Google на Android, има публикация в Android Partner Issue Tracker (AVPI) с подробности Изтекли ключове за сертификат на платформа които се използват активно за подписване на зловреден софтуер. Публикацията е само списък с превключватели, но всеки от тях е включен APK Mirror или google VirusTotal Сайтът ще изброи имената на някои от компрометираните ключове: samsungИ на LGИ медиатех Те са най-тежките играчи в списъка с изтекли суичове, заедно с някои по-малки OEM производители като revoview и Szroco, което прави Onn дискове от Walmart.
Ключовете за подписване на тези компании по някакъв начин са изтекли до външни лица и сега не можете да вярвате, че приложенията, които твърдят, че са от тези компании, всъщност са от тези компании. За да влошат нещата, „ключовете за сертификат на платформата“, които са изгубили, съдържат някои сериозни разрешения. За да цитирам публикацията на AVPI:
Сертификатът на платформата е сертификатът за подписване на приложение, използван за подписване на приложението “android” към системния образ. Приложението “android” работи с високо привилегирован потребителски идентификатор – android.uid.system – и притежава системни разрешения, включително разрешения за достъп до потребителски данни. Всяко друго приложение, подписано със същия сертификат, може да декларира, че иска да работи със същия потребителски идентификатор, което му дава същото ниво на достъп до операционната система Android.