- Der kryptografische Signaturschlüssel eines Entwicklers ist ein Kernelement der Android-Sicherheit
- Das Android-Sicherheitsteam von Google hat einen Beitrag zu den geleakten Schlüsseln veröffentlicht; einige davon gehören Samsung, LG und MediaTek
- Dabei handelt es sich sogar um „Plattformzertifikatsschlüssel“, also um nahezu Root-ähnlichen Zugriff
- Es sind die Schlüssel, mit denen die System-App „android“ signiert wird
- Diese „android“-App läuft unter der hoch privilegierten Benutzer-ID
android.uid.systemund hat damit Zugriff auf Nutzerdaten sowie Systemrechte - Alle mit diesem Zertifikat signierten Apps können gegenüber dem Android-OS mit derselben Berechtigungsstufe ausgeführt werden
- Der geleakte Samsung-Schlüssel wurde für Hunderte von Apps auf rund 101 Seiten verwendet, darunter Samsung Pay, Bixby und die Telefon-App
- Samsung hat diesen Schlüssel sogar bis heute nicht ausgetauscht
- Noch merkwürdiger ist laut dem Gründer von APKMirror, dass in VirusTotal mit diesem Schlüssel signierte Malware aus dem Jahr 2016 gefunden wurde
- Das würde bedeuten, dass das Problem schon seit 6 Jahren besteht … Auf Nachfrage bei Samsung kam folgende Antwort:
„Samsung misst der Sicherheit von Galaxy-Geräten große Bedeutung bei. Wir kennen das Problem seit 2016 und haben Sicherheits-Patches bereitgestellt. Bis heute sind uns keine Sicherheitsvorfälle im Zusammenhang mit dieser Schwachstelle bekannt. Wir empfehlen, Geräte stets durch Software-Updates auf dem neuesten Stand zu halten.“
- Das würde bedeuten, dass das Problem schon seit 6 Jahren besteht … Auf Nachfrage bei Samsung kam folgende Antwort:
- Ehrlich gesagt ergibt das keinen Sinn. Warum wird ein geleakter Schlüssel weiterverwendet, wenn man seit Jahren davon weiß?
- Es mag schwierig sein, bereits verkaufte Smartphones zu aktualisieren, aber Samsung hat seit 2016 zahllose neue Geräte gebaut. Eigentlich hätte man schon vor Jahren OS-Builds mit einem neuen Schlüssel erstellen müssen …
- Das Android-Sicherheitsteam sagt dazu: „Nach der Meldung dieses Schlüssellecks haben die OEM-Partner Gegenmaßnahmen umgesetzt. Außerdem erkennt die Build Test Suite die Malware, und auch Google Play erkennt sie.“
- Die OEMs sollten kompromittierte Schlüssel schnell ersetzen. Warum Samsung diesen Schlüssel noch immer verwendet, ist unklar
- Mit dem APK Signature Scheme V3 von Android können Entwickler den App-Schlüssel allein per Update ändern
- Google Play erzwingt V3, einige OEMs nutzen aber noch V2
7 Kommentare
https://news.einfomax.co.kr/news/articleView.html?idxno=4245304
Nur ein paar Tage, nachdem das hochkam ... jetzt sorgt die Sache mit dem PAYCO-Signaturschlüssel für viel Aufregung.
Aber ... warum bleibt dieser Fall so still? haha..
Ist das nicht ein Beitrag, der als Beleg dafür verstanden werden kann, dass man Samsung verdächtigen könnte, Malware zu verwalten?
So weit scheint es nicht zu gehen. Es wirkt eher so, als würden sie einfach keine große Reaktion zeigen und es auf sich beruhen lassen.
APK Signature Scheme v3 ist zwar nutzbar,
Seit dem letzten Jahr heißt es, die Key-Rotation-Funktion komme bald – dieses „Coming Soon“ dauert nun schon anderthalb Jahre an.
Oh, verstehe … danke für die zusätzlichen Informationen!
Ich kann schon nachvollziehen, warum das passiert ist, und ich kann mir auch einigermaßen denken, warum es immer wieder so lief. Trotzdem ist es eben fragwürdig, wenn es ständig so weitergeht.
Ist das echt?