La clé de signature cryptographique d’un développeur est l’un des principaux piliers de la sécurité Android. Chaque fois qu’Android met à jour une application, la clé de signature de l’ancienne application sur votre téléphone doit correspondre à la clé de la mise à jour que vous installez. Les clés correspondantes garantissent que la mise à jour provient bien de la société qui a créé votre application à l’origine et qu’il ne s’agit pas d’un complot de piratage malveillant. Si la clé de signature d’un développeur était divulguée, n’importe qui pourrait distribuer des mises à jour d’applications malveillantes et Android les installerait avec plaisir, pensant qu’elles sont légitimes.

Sur Android, le processus de mise à jour des applications ne concerne pas uniquement les applications téléchargées à partir d’un magasin d’applications, vous pouvez également mettre à jour les applications système intégrées créées par Google, le fabricant de votre appareil et toute autre application intégrée. Alors que les applications téléchargées ont un ensemble strict d’autorisations et de contrôles, les applications système Android intégrées ont accès à des autorisations beaucoup plus puissantes et invasives et ne sont pas soumises aux limitations habituelles du Play Store (c’est pourquoi Facebook paie toujours pour être une application groupée ). Si un développeur tiers perdait sa clé de signature, ce serait mauvais. Si un FEO Android jamais perdu leur clé de signature d’application système, ce serait vraiment, vraiment mauvais.

Devinez ce qui s’est passé ! Łukasz Siewierski, membre de l’équipe de sécurité Android de Google, a publié un article sur l’outil de suivi des problèmes de l’Android Partner Vulnerability Initiative (AVPI). clés de certificat de plate-forme divulguées qui sont activement utilisés pour signer des logiciels malveillants. Le message n’est qu’une liste des clés, mais en parcourant chacune d’elles APKMiroir ou celui de Google VirusTotal site mettra des noms à certaines des clés compromises : Samsung, LGet Médiatek sont les gros frappeurs sur la liste des clés divulguées, ainsi que certains équipementiers plus petits comme Revoir et Szroco, qui fait Les tablettes Onn de Walmart.

Ces entreprises ont en quelque sorte vu leurs clés de signature divulguées à des étrangers, et maintenant vous ne pouvez pas croire que les applications qui prétendent provenir de ces entreprises sont vraiment d’elles. Pour aggraver les choses, les « clés de certificat de plate-forme » qu’ils ont perdues ont des autorisations sérieuses. Pour citer le post d’AVPI :

Un certificat de plate-forme est le certificat de signature d’application utilisé pour signer l’application « android » sur l’image système. L’application « android » s’exécute avec un identifiant d’utilisateur hautement privilégié – android.uid.system – et détient les autorisations système, y compris les autorisations d’accès aux données de l’utilisateur. Toute autre application signée avec le même certificat peut déclarer qu’elle veut s’exécuter avec le même identifiant utilisateur, lui donnant le même niveau d’accès au système d’exploitation Android.