Khóa ký ứng dụng Android của Samsung đã bị rò rỉ, đang được sử dụng để ký phần mềm độc hại
|
Như thường lệ, Biên tập viên kỹ thuật cao cấp của Esper Mishaal Rahman đã chia sẻ thông tin hữu ích về điều này trên Twitter. Theo ông, việc để một ứng dụng có cùng UID với hệ thống Android không hoàn toàn là quyền truy cập root, nhưng nó đóng và cho phép ứng dụng vượt qua mọi hạn chế hộp cát đối với các ứng dụng hệ thống có thể có. Hãy tưởng tượng một phiên bản Dịch vụ của Google Play độc hại hơn và bạn sẽ biết được cách các ứng dụng này có thể giao tiếp trực tiếp với (hoặc, trong trường hợp là phần mềm độc hại, theo dõi) các ứng dụng khác trên điện thoại của bạn
Biên tập viên kỹ thuật cấp cao của Esper Mishaal Rahman, như mọi khi, đã đăng thông tin hữu ích về vấn đề này trên Twitter. Như anh ấy giải thích, việc một ứng dụng lấy cùng một UID như hệ thống Android không hoàn toàn là quyền truy cập root, nhưng nó gần và cho phép một ứng dụng thoát khỏi bất kỳ hộp cát giới hạn nào tồn tại cho các ứng dụng hệ thống. Các ứng dụng này có thể giao tiếp trực tiếp với (hoặc, trong trường hợp phần mềm độc hại, theo dõi) các ứng dụng khác trên điện thoại của bạn. Hãy tưởng tượng một phiên bản xấu xa hơn của Dịch vụ Google Play và bạn sẽ hiểu Khi bạn làm mất chìa khóa nhà, thông thường bạn nên thay ổ khóa trên cửa—đặc biệt nếu những chiếc chìa khóa đó có tên và địa chỉ của bạn trên đó. Tại sao phải mạo hiểm rằng ai đó sẽ sử dụng những chìa khóa đó để mở cửa của bạn hoặc tạo một bản sao của chúng trước khi chúng được trả lại? . Bạn không còn phải lo lắng liệu những phím đó có bị sử dụng sai mục đích hay không Trong thế giới phần mềm cũng vậy. Khi bạn muốn ai đó tin tưởng vào ứng dụng của mình, bạn cần chứng minh rằng chính bạn là người đã phát hành nó. Điều này được thực hiện với một khóa ký. Bạn muốn giữ khóa đó thật an toàn vì nếu người khác có được nó, họ sẽ có thể ký bất kỳ phần mềm nào với tư cách là bạn. Show
Đó là lý do tại sao ngay khi bạn biết khóa của mình đã bị xâm phạm, bị mất hoặc bị đánh cắp, bạn muốn thu hồi và thay thế nó càng sớm càng tốt. Đó chỉ đơn giản là cách làm tốt nhất và hoàn toàn không bị coi là gây tranh cãi Vì vậy, bạn có thể ngạc nhiên khi biết rằng cách tiếp cận của Samsung để xử lý khóa ký bị xâm phạm chỉ đơn giản là không làm gì cả. Tức là công ty đã không thay thế khóa của mình (như Arstechnica đã báo cáo). Điều đó càng trở nên đáng lo ngại hơn khi bạn nhận ra rằng Samsung đã biết về vấn đề này trong nhiều năm, và sau đó hết sức lo lắng khi quan điểm chính thức của họ dường như là công ty không coi đó là vấn đề. Khó tin? . Adam Conway on the XDA developers forum (emphasis mine): Samsung rất coi trọng vấn đề bảo mật của các thiết bị Galaxy. Chúng tôi đã phát hành các bản vá bảo mật từ năm 2016 sau khi nhận thức được vấn đề, và chưa có sự cố bảo mật nào liên quan đến lỗ hổng tiềm ẩn này . Chúng tôi luôn khuyên người dùng nên cập nhật thiết bị của mình bằng các bản cập nhật phần mềm mới nhất. Thật thú vị vì theo Artem Russakovski, có vẻ như có phần mềm độc hại từ năm 2016 đã được ký bằng khóa này.
Khóa ký ứng dụng Android là gì?Khóa ký ứng dụng Android được nhà xuất bản sử dụng để ký các ứng dụng của mình để các thiết bị Android có thể xác minh rằng ứng dụng là hợp pháp và đến từ nhà xuất bản mà nó tuyên bố là đến từ đó. Đây là cốt lõi đối với mô hình bảo mật của nền tảng và do đó, việc giữ an toàn cho khóa đó là vô cùng quan trọng. Nếu người khác có quyền truy cập vào khóa của bạn, họ có thể ký vào bất kỳ ứng dụng nào và tuyên bố rằng chính bạn đã xuất bản và phê duyệt nó Làm thế nào điều này liên quan đến Samsung?Khóa đã bị rò rỉ là khóa ký ứng dụng Android của Samsung. Đây là chìa khóa mà Samsung sử dụng để ký tất cả các ứng dụng Android của mình và là cách Android có thể xác định một ứng dụng chính thức của Samsung để cập nhật. Khóa này được sử dụng cho cả các ứng dụng đã tải xuống (chẳng hạn như từ Cửa hàng Play) nhưng đáng lo ngại hơn nhiều là được sử dụng để ký các Ứng dụng hệ thống đi kèm với điện thoại Ứng dụng hệ thống là gì?Mặc dù các ứng dụng từ Cửa hàng Play có một số hạn chế đáng kể về những gì chúng có thể và không thể làm (cũng như mô hình cấp phép mạnh mẽ), các ứng dụng do OEM vận chuyển (được gọi là ứng dụng hệ thống) có quyền truy cập vào hệ thống lớn hơn nhiều . Do đó, điều rất quan trọng là phải đảm bảo rằng các ứng dụng này được cập nhật và đáng tin cậy, vì khả năng bị hư hại nếu cài đặt ứng dụng độc hại cao hơn nhiều Còn các bản cập nhật hệ điều hành thì sao?Tin tốt duy nhất ở đây là các phím khác nhau được sử dụng để ký các bản cập nhật hệ điều hành của Samsung Có thể làm gì với chìa khóa bị rò rỉ?Với khóa này, các tác nhân độc hại có thể ký phần mềm độc hại dưới dạng phần mềm chính thức của Samsung. Nếu họ có thể tìm cách giúp bạn dùng thử và cài đặt phần mềm, điện thoại của bạn sẽ coi đó là phần mềm xác thực của Samsung vì nó mang chữ ký của Samsung. Điều này có nghĩa là có thể cài đặt phần mềm độc hại hoặc phần mềm gián điệp trên điện thoại của bạn, ngay cả khi thiết bị của bạn chưa được root Làm cách nào để phân biệt phần mềm độc hại với phần mềm chính hãng?Vì cả hai đều có chữ ký hợp lệ từ khóa của Samsung, không có cách nào để Android xác định rằng một là thật và một là giả. Đây là nơi rủi ro thực sự đến từ. Thông thường để cài đặt phần mềm độc hại, có một số tính năng bảo mật phải được xử lý xung quanh. Tuy nhiên, với khóa ký hợp lệ, các tính năng bảo mật đó sẽ không giúp ích gì cho bạn Samsung có thể làm gì?Samsung chỉ có thể làm một việc. thay thế khóa ký của nó. Tin tốt là điều đó hoàn toàn nằm trong tầm kiểm soát của công ty. Họ có thể làm cho điều này xảy ra Vì sao Samsung chưa thay chìa khóa?Đó là một câu hỏi hay và vẫn chưa thực sự rõ ràng tại sao nó lại sử dụng cùng một khóa, đặc biệt là khi Samsung dường như đã biết về sự thỏa hiệp trong một thời gian. Đã có một số bản cập nhật và bản phát hành kể từ khi khóa được biết là đã bị xâm phạm, vậy tại sao họ không thay đổi khóa vào thời điểm đó? . Rốt cuộc, nó khiến người dùng có nguy cơ vi phạm an ninh nghiêm trọng O. K. , nhưng tôi có thể làm gì để tự bảo vệ mình?Hiện tại, vì đã có phần mềm độc hại trong tự nhiên, cách tốt nhất để đảm bảo rằng bạn an toàn là đặt lại điện thoại về mặc định ban đầu (để bạn đang chạy hình ảnh Samsung sạch), sau đó chỉ cài đặt hoặc cập nhật từ . Hãy chú ý đến những gì bạn đang cài đặt, kể cả từ đó và để mắt đến bất kỳ thứ gì trông đáng ngờ, chẳng hạn như các ứng dụng có tên hoặc biểu tượng rất giống với các ứng dụng phổ biến. Chúng tôi hy vọng Samsung sẽ phát hành các khóa mới trong tương lai rất gần, vì vậy điều này sẽ chỉ cần được thực hiện một lần chứ không phải là một biện pháp định kỳ Bản tóm tắtKhóa ký ứng dụng Android của Samsung đã bị rò rỉ và có vẻ như nó đã bị rò rỉ trong nhiều năm. Tệ hơn nữa, Samsung dường như đã biết về điều này ít nhất trong một vài năm nhưng vẫn chưa thu hồi chìa khóa của mình. Dường như rất thoải mái về toàn bộ sự việc, Samsung đã tuyên bố rằng không có vụ khai thác nào được biết đến, mặc dù phần mềm độc hại tồn tại trong tự nhiên đã được ký bằng khóa của họ từ năm 2016. Sự thiếu nhận thức và thiếu vệ sinh bảo mật cơ bản này sẽ luôn là một mối lo ngại, nhưng nhìn thấy nó trong một OEM lớn là điều vô cùng đáng lo ngại Bạn có thể thực hiện các bước cơ bản để giúp đảm bảo quyền riêng tư của mình được bảo toàn và bạn chưa cài đặt bất kỳ phần mềm độc hại nào bằng cách làm theo các bước ở trên. Tuy nhiên, tại thời điểm đăng tải, key bị rò rỉ vẫn đang được sử dụng và chưa bị Samsung thu hồi |
