Android 重大安全漏洞已危害三星等 Android 裝置
Google 的 Android 漏洞合作夥伴倡議(Android Partner Vulnerability Initiative,簡稱 APVI) 公開披露了一項重大安全漏洞,可讓惡意軟體獲取系統信任,而獲得,包括三星、LG 和其他採用 Android 作業系統的行動裝置均受到影響。
這項問題核心在於多家 Android OEM 廠商的平台簽名密鑰洩露在外。此密鑰由製造商建立,用於確保裝置上運行的 Android 版本是合法的。而這些密鑰亦可用來簽署個別 app。
本來用來簽署作業系統的密鑰,若用來簽署的 app,則這些 app 就會無條件地被 Android 系統信任。也就是說,惡意攻擊者只要取得這個密鑰,就能夠使用 Android 的「共享使用者 ID」系統,讓惡意軟體在被攻擊的裝置上取得完整的系統權限,所有資料將一覽無遺。
在某些情況下,這些外洩的平台密鑰會用在簽署一般 app 上。駭客只要將惡意軟體加入受信任的 app,並使用相同的密鑰簽署,Android 會把它當作原來軟體的「更新版」並予以信任。無論透過 Play 商店、Galaxy 商店還是其他側載方式安裝軟體,這項手法都能得逞。
Google 公開披露的資訊並沒有列出哪些裝置或製造商受到影響,但它的確顯示了惡意軟體文件範例的雜湊 (hash) 值。有用的是,每份文件都已上傳到 VirusTotal,通常還會顯示受害公司名稱。藉此可知以下公司的密鑰已外洩:
- Samsung
- LG
- Mediatek
- szroco (Walmart 的 Onn 平板電腦製造商)
- Revoview
根據 Google 的簡要說明,所有受害公司要採取的第一步就是換掉已外洩的 Android 平台簽署密鑰。最好每隔一陣子就替換,以減少未來外洩可能帶來的損害。此外,Google 還督促所有 Android 製造商大幅減少平台密鑰用來簽署其他 app 的頻率。只有需要最高層級權限的 app 才可以用這種方式簽署,以避免潛在的安全性問題。
Google 表示,自 2022 年 5 月揭露此問題後,三星及其他受害公司已採取補救措施,將這些重大安全漏洞對用戶的影響降到最低。令人玩味的是,僅管 Google 稱該漏洞是在 2022 年 5 月被揭露,但早在 2016 年 VirusTotal 便已掃描到這類惡意軟體的樣本,很難說這幾年來是否已有行動裝置受到影響。