Samsung en LG-telefoons kwetsbaar door gelekte certificaten, vindt Google

0

Het Android Partner Vulnerability Initiative van Google heeft in een groot beveiligingslek een nieuwe belangrijke kwetsbaarheid onthuld die Android-smartphones van grote merken als Samsung en LG heeft getroffen. Door het lekken van de ondertekeningssleutels die worden gebruikt door Android-OEM’s, kunnen bedrieglijke apps of malware zichzelf vermommen als “vertrouwde” apps. Het probleem werd eerder in mei van dit jaar gemeld, waarna verschillende bedrijven, waaronder Samsung, actie ondernamen om de kwetsbaarheid te beheersen.

Het beveiligingslek werd aan het licht gebracht door Google-medewerker Łukasz Siewierski (via Espers Mishaal Rahman). Sirwierski onthulde via zijn tweets hoe de platformcertificaten zijn gebruikt om malware-apps op Android te ondertekenen.

De kern van het probleem is een kwetsbaarheid in het vertrouwensmechanisme van het Android-platform dat kan worden misbruikt door kwaadwillende aanvallers. Door het ontwerp vertrouwt Android elke applicatie die een legitieme platformondertekeningssleutel gebruikt, die wordt gebruikt om kernsysteemapplicaties te ondertekenen, via het gedeelde gebruikers-ID-systeem van Android.

De ondertekeningssleutels van het platform van de Android Original Equipment Manufacturers (OEM’s) zijn echter gelekt, waardoor makers van malware machtigingen op systeemniveau kunnen krijgen op een doelapparaat. Hierdoor zouden alle gebruikersgegevens op het specifieke apparaat beschikbaar zijn voor de aanvaller, net als een andere systeem-app van de fabrikant die is ondertekend met hetzelfde certificaat.

Een ander alarmerend aspect van de kwetsbaarheid is dat een gebruiker niet noodzakelijkerwijs een nieuwe of “onbekende” applicatie hoeft te installeren. De gelekte platformsleutels kunnen ook worden gebruikt om veelvoorkomende vertrouwde apps zoals de Bixby-app op een Samsung-apparaat te ondertekenen. Een gebruiker die een dergelijke applicatie van een website van een derde partij heeft gedownload, krijgt geen waarschuwing te zien wanneer hij deze op zijn smartphone installeert, omdat het certificaat overeenkomt met dat op zijn systeem.

Google heeft echter niet expliciet de lijst met apparaten of OEM’s vermeld die tot nu toe zijn getroffen door de kritieke kwetsbaarheid in de openbare bekendmaking ervan. Niettemin bevat de openbaarmaking een lijst met voorbeelden van malwarebestanden. Het platform heeft sindsdien naar verluidt de lijst met getroffen smartphones bevestigd, waaronder apparaten van Samsung, LG, Mediatek, Xiaomi en Revoview.

De zoekgigant heeft ook manieren voorgesteld waarop de getroffen bedrijven het probleem kunnen oplossen. De eerste stap bestaat uit het produceren van ondertekeningssleutels van het Android-platform waarvan is gemeld dat ze zijn gelekt, en deze te vervangen door nieuwe ondertekeningssleutels. Het bedrijf heeft er ook bij alle Android-fabrikanten op aangedrongen om het frequente gebruik van de platformsleutel voor een app om andere apps te ondertekenen drastisch te minimaliseren.

Volgens Google werd het probleem voor het eerst gemeld in mei. Sindsdien hebben Samsung en alle andere getroffen bedrijven al corrigerende maatregelen genomen om de aanwezige kwetsbaarheden te verminderen en te minimaliseren. Volgens Android Police zijn enkele van de kwetsbare sleutels die in de openbaarmaking werden vermeld, onlangs gebruikt voor apps voor Samsung- en LG-telefoons die zijn geüpload naar APK Mirror.

“OEM-partners hebben onmiddellijk mitigerende maatregelen geïmplementeerd zodra we de belangrijkste inbreuk hebben gemeld. Eindgebruikers zullen worden beschermd door gebruikersbeperkingen die door OEM-partners zijn geïmplementeerd”, zei Google in een verklaring aan BleepingComputer.

Gebruikers van Android wordt geadviseerd om hun firmwareversies bij te werken naar de nieuwste beschikbare updates om beschermd te blijven tegen mogelijke beveiligingsfouten, zoals die door Google is onthuld, en om waakzaam te zijn bij het downloaden van apps van externe bronnen.


Affiliate-links kunnen automatisch worden gegenereerd – zie onze ethische verklaring voor details.

Read original article here

Ontkenning van verantwoordelijkheid! Palaunow is een automatische aggregator rond de wereldwijde media. Alle inhoud is gratis beschikbaar op internet. We hebben het zojuist op één platform ondergebracht, alleen voor educatieve doeleinden. In elke inhoud wordt de hyperlink naar de primaire bron gespecificeerd. Alle handelsmerken behoren toe aan hun rechtmatige eigenaars, al het materiaal aan hun auteurs. Als u de eigenaar van de inhoud bent en niet wilt dat wij uw materiaal op onze website publiceren, neem dan contact met ons op via e-mail – abuse@Palaunow.com. De inhoud wordt binnen 24 uur verwijderd.

Leave A Reply

Your email address will not be published.