De acordo com um tweet de Łukasz Siewierski do Google (via Mishaal Rahman, 9to5Google), hackers e”insiders mal-intencionados” conseguiram vazar as chaves de assinatura da plataforma usadas por vários fabricantes de Android para assinar aplicativos do sistema usados em dispositivos Android. Essas chaves de assinatura são usadas para garantir que os aplicativos e até mesmo a versão do sistema operacional Android em execução no seu telefone sejam legítimos.
Vulnerabilidade de longa duração afetou LG, Samsung e outros fabricantes relacionados ao Android
Baked into Android é um sistema que confia em aplicativos assinados pela mesma chave usada para autenticar o próprio sistema operacional. Então você pode ver qual é o problema aqui. Um malfeitor com o controle dessas chaves pode fazer com que aplicativos carregados de malware”confiem”no Android no nível do sistema. Isso é como dar a um ladrão as chaves da sua casa e do seu carro com a sua aprovação. Todos e quaisquer dados em dispositivos vulneráveis podem estar em risco. E algumas dessas chaves são usadas para assinar aplicativos comuns instalados da Play Store ou transferidos de outras vitrines de aplicativos Android.
Não há rodeios quando se trata dessa vulnerabilidade.
Rahman tweeta que as chaves de assinatura vazadas não podem ser usadas para instalar atualizações over-the-air que estão comprometidas. E acrescenta que o sistema Play Store Protect pode sinalizar aplicativos assinados pelas chaves vazadas como potencialmente prejudiciais.
Embora todas as fontes das chaves vazadas ainda não tenham sido identificadas, as empresas que foram nomeados incluem o seguinte:
Samsung LG Mediatek Szroco (a empresa que produz os tablets Onn do Walmart) Revoview
O Google diz que a vulnerabilidade foi relatada a ele em maio deste ano e que as empresas envolvidas”tomaram medidas de remediação para minimizar o impacto do usuário.”Não é exatamente o sinal de”tudo limpo”, especialmente à luz da notícia de que o APK Mirror recentemente encontrou algumas das chaves de assinatura vulneráveis em aplicativos Android da Samsung.
O Google, em um comunicado, diz que os usuários do Android foram protegido por meio do recurso Google Play Store Protect e por meio de ações tomadas pelos fabricantes. O Google afirmou que essa exploração não afetou nenhum aplicativo baixado da Play Store.
Um porta-voz do Google disse:”Os parceiros OEM implementaram prontamente medidas de mitigação assim que relatamos o comprometimento da chave. Os usuários finais serão protegidos por mitigações de usuário implementadas por Parceiros OEM. O Google implementou amplas detecções para o malware no Build Test Suite, que verifica as imagens do sistema. O Google Play Protect também detecta o malware. Não há indicação de que esse malware esteja ou tenha estado na Google Play Store. Como sempre, recomendamos usuários para garantir que eles estejam executando a versão mais recente do Android.”
O que você precisa fazer para limitar sua exposição
O Google está recomendando que as empresas envolvidas troquem as chaves de assinatura atualmente em uso e deixem de usar as que vazaram. Também sugere que cada empresa inicie uma investigação para entender como as chaves vazaram. Esperançosamente, isso impediria que algo assim acontecesse novamente no futuro. O Google também está recomendando que as empresas usem teclas de canto para o número mínimo de aplicativos para reduzir o número de possíveis vazamentos no futuro.
Então, o que você pode fazer como proprietário de um telefone Android possivelmente afetado? Certifique-se de que seu aparelho esteja executando a versão mais recente do Android e instale todas as atualizações de segurança assim que chegarem. Quem se importa se essas atualizações não trazem novos recursos empolgantes, pois o trabalho deles é garantir que seu dispositivo não seja comprometido. E os usuários do Android devem evitar aplicativos de sideload. É quando você instala um aplicativo originário de uma loja de aplicativos de terceiros.
O mais assustador é que essa vulnerabilidade aparentemente existe há anos. A Samsung ainda menciona isso em sua declaração feita ao Android Police que diz:”A Samsung leva a segurança dos dispositivos Galaxy a sério. Emitimos patches de segurança desde 2016 ao tomar conhecimento do problema e não houve incidentes de segurança conhecidos relacionados a essa vulnerabilidade potencial. Sempre recomendamos que os usuários mantenha seus dispositivos atualizados com as atualizações de software mais recentes.”
