Samsung’un Android uygulama imzalama anahtarı sızdırıldı ve kötü amaçlı yazılımda kullanılıyor

 (arstechnica.com)
11 puan yazan xguru 2022-12-05 | 7 yorum | WhatsApp'ta paylaş
  • Geliştiricilerin kriptografik imzalama anahtarları, Android güvenliğinin temel unsurlarından biri
  • Google Android güvenlik ekibinin paylaştığı yazıda sızdırılan anahtarlar açıklanıyor; anahtarların bir kısmı Samsung/LG/Mediatek’e ait
  • Üstelik bu anahtarlar "platform sertifikası anahtarları" olduğu için neredeyse root erişimine yakın yetkiler veriyor
    • Sistemde "android" uygulamasını doğrulamak için kullanılan anahtarlar
    • Bu "android" uygulaması, yüksek yetkili kullanıcı kimliği olan "android.uid.system" ile çalışır; kullanıcı verilerine erişim ve sistem yetkilerine sahiptir
    • Bu sertifikayla imzalanan tüm uygulamalar, Android OS üzerinde aynı düzeyde yetkiyle çalışabilir
  • Sızdırılan Samsung anahtarı; Samsung Pay, Bixby, telefon uygulaması gibi yaklaşık 101 sayfadaki yüzlerce uygulamada kullanılmış
    • Hatta Samsung bugün itibarıyla bile ilgili anahtarı değiştirmiş değil
  • Konuyu daha da garipleştiren şey, APKMirror kurucusunun aktardığına göre VirusTotal’da bu anahtarla imzalanmış kötü amaçlı yazılımın 2016 tarihli olması
    • Yani bunun 6 yıldır böyle olduğu anlamına geliyor... Samsung’a sorulduğunda ise şu açıklama yapılmış

      "Samsung, Galaxy cihazlarının güvenliğini ciddiye almaktadır. Şirket, bu konuyu 2016’dan beri bilmekte olup güvenlik yamaları uygulamıştır ve bugüne kadar bu güvenlik açığıyla ilgili bilinen bir güvenlik olayı yoktur. Her zaman yazılım güncellemeleriyle cihazınızı güncel tutmanızı öneriyoruz."

  • Açık konuşmak gerekirse bu mantıklı görünmüyor. Bunu yıllardır biliyorlarsa neden sızdırılmış anahtarı hâlâ kullanıyorlar?
  • Hâlihazırda satılmış telefonları güncellemek zor olabilir, ancak Samsung 2016’dan bu yana çok sayıda yeni cihaz üretti. Görünüşe göre yıllar önce yeni bir anahtarla OS derlemesi yapmaları gerekirdi...
  • Android güvenlik ekibi, "Bu anahtar sızıntısı raporlandıktan sonra OEM iş ortakları önlem uygulamaları hayata geçirdi. Ayrıca Build Test Suite kötü amaçlı yazılımı tespit ediyor ve Google Play de aynı şekilde kötü amaçlı yazılımı algılıyor" diyor
  • OEM’lerin tehlikeye girmiş anahtarları hızla değiştirmesi gerekiyor. Samsung’un neden bu anahtarı hâlâ kullanmaya devam ettiği net değil
  • Android’in APK Signature Scheme V3 özelliği kullanılırsa geliştiriciler yalnızca güncelleme ile uygulama anahtarını değiştirebilir
    • Google Play V3’ü zorunlu tutuyor, ancak bazı OEM’ler hâlâ V2 kullanıyor

İlgili okumalar

7 yorum

 
ruinnel 2022-12-07

https://news.einfomax.co.kr/news/articleView.html?idxno=4245304

Bu ortaya çıktıktan sadece birkaç gün sonra... PAYCO imza anahtarı olayı da ortalığı epey karıştırıyor.
Ama ... neden bu olay sessiz geçiyor? haha..
 
geekgram 2022-12-06

Yani bu, Samsung'un kötü amaçlı yazılımları yönetiyor olabileceğinden şüphelenmek için kanıt sayılabilecek bir yazı olduğu anlamına mı geliyor?
 
xguru 2022-12-06

O kadar da değil gibi görünüyor. Sadece büyük bir karşılık vermeden durumu olduğu gibi bıraktıkları hissi var gibi.
 
ganadist 2022-12-05

APK signature scheme v3 kullanılabiliyor,

  1. Şu anda Android uygulamaları app bundle formatında yüklendikten sonra, Google Play'de Google'a verilen imzalama anahtarıyla imzalanıyor
  2. APK scheme v3'te imzalama anahtarını döndürme özelliği bir seçenek olsa da
  3. Google Play hâlâ key rotation'ı desteklemiyor.

Geçen yıldan beri key rotation özelliğinin yakında sunulacağı söyleniyor ama bunun üzerinden şimdiden 1,5 yıl geçti.
 
xguru 2022-12-06

Vay be, anladım.. ek bilgi için teşekkürler!
 
laeyoung 2022-12-05

Neden öyle yaptıklarını anlıyorum; neden bunu yapmaya devam ettiklerini de az çok tahmin edebiliyorum. Yine de bunu sürdürmeleri ayrı bir mesele.
 
love7peace 2022-12-05

Bu gerçek mi?