Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Gefährdung von Android-Nutzern durch kompromittierte digitale Herstellerzertifikate
15. Dezember 2022. TuxCare PR Team
Eine Reihe von digitalen Zertifikaten, die von Herstellern wie Samsung, LG und MediaTek verwendet werden, wurden kompromittiert, um bösartige Android-Apps zu genehmigen. Dadurch wurden sie anfällig, nachdem ein großes Sicherheitsleck es einem vertrauenswürdigen Malware-Programm ermöglichte, durchzudrehen und Geräte zu beeinträchtigen.
Die neue Schwachstelle, die es einem böswilligen Angreifer ermöglicht, auf einem betroffenen Gerät Berechtigungen auf Systemebene zu erlangen, wurde am Donnerstag von Łukasz Siewierski, einem Malware Reverse Engineer bei Google, entdeckt und gemeldet. Er beruft sich dabei auf einen Bericht der Google Android Partner Vulnerability Initiative (APVI).
Dem Bericht zufolge werden diese Zertifikate zur Validierung von Anwendungen verwendet. Jede andere Anwendung, die mit demselben Zertifikat signiert ist, kann erklären, dass sie mit derselben Benutzerkennung ausgeführt werden möchte, was ihr Zugang zum Android-Betriebssystem gewährt. Mit anderen Worten: Wenn Hacker diese Zertifikate ausnutzen, können sie verwendet werden, um Apps zu erstellen, die authentisch erscheinen.
Malware kann durch die Verwendung dieser Zertifikate ohne jegliche Benutzerinteraktion erweiterten Systemzugriff erlangen. Normalerweise muss Android-Malware zusätzliche Berechtigungen von den Benutzern anfordern, z. B. den Zugriff auf Zugriffsdienste, die sie dann verwendet, um Daten und Informationen von anderen Anwendungen zu extrahieren. Malware muss diese Hürden nicht nehmen, wenn sie das gleiche Zertifikat wie die Android-Root-Anwendung verwendet. Malware kann sich auch als vertrauenswürdige vorinstallierte Anwendung ausgeben und den Benutzern als Update erscheinen, wodurch es noch schwieriger wird, zu erkennen, dass etwas nicht stimmt.
Zu den schädlichen Android-App-Paketen mit ausnutzbaren Codes gehören: com.russian.signato.renewis, com.sledsdffsjkh.Search, com.android.power, com.management.propaganda und com.android.power. com.sec.android.musicplayer, com.houla.quicken, com.attd.da, com.arlo.fappx, com.metasploit.stage und com.vantage.ectronic.cornmuni.
Die Ausnutzung der kompromittierten Plattformzertifikate der oben genannten Android-App-Pakete würde es einem Angreifer ermöglichen, Malware mit umfangreichen Berechtigungen zu erstellen, ohne die Benutzer zur Gewährung dieser Berechtigungen verleiten zu müssen, und dann die höchsten Privilegien des Android-Betriebssystems zu erlangen, so dass er alle Arten sensibler Informationen von einem kompromittierten Gerät abgreifen könnte.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.
