Android står igjen i fare for å bli overkjørt av apper med farlig kode, og denne gang er de ekstra farlige.
Samsung og LG-mobiler står i fare
Vi skal ikke gå så langt å si at Google Play Store kan bli overkjørt, men faren er der – det har jo skjedd en del ganger før. Google sier at de har en rekke sikkerhetsmekanismer, men det er aldri noen garanti for at ikke visse apper slipper igjennom.
OEM-partnere implementerte umiddelbart avbøtende tiltak så snart vi rapporterte den nøkkel-feilen. Sluttbrukere vil bli beskyttet av sikkerhet implementert av OEM-partnere. Google har implementert brede deteksjoner for skadelig programvare i Build Test Suite, som skanner appene. Google Play Protect oppdager også skadelig programvare. Det er ingen indikasjoner på at denne skadelige programvaren er eller var på Google Play-butikken. Som alltid anbefaler vi brukere å sørge for at de kjører den nyeste versjonen av Android.
Android Security Team
Nettopp denne feilen er grov da den omhandler lekkede nøkler, og ikke hvilke som helst sikkerhetsnøkler: disse er av typen “cryptographic signing key.” Det er disse som kobles mot Android for at systemet skal godkjenne å installere, eller oppgradere, apper. Med andre ord: om systemet ikke er sikkert kan en farlig app overskrive (oppdatere) en allerede installert, bekreftet app.
Samsung har ikke endret nøkkel siden 2016
Nå viser det seg at nøkler fra mange Android-produsenter har lekket (LG og Mediatek er også berørte), og at Samsung sin har vært på det mørke nettet siden 2016. Og hacken mot Samsung-mobiler fungerer fremdeles etter alle disse år.
Annonse
Det er ukjent hvorfor Samsung ikke bruker en ny nøkkel da det enkelt kan utføres med APK Signature Scheme V3.
“Man godkjenner en app med den nye og den gamle nøkkelen og indikerer at kun den nye nøkkelen er støttet for oppdateringer,” noterer Ars Technica seg om den enkle måten å løse dette på. De poengterer at kun apper, og ikke OS-oppdateringer, er rammet av dette.
Likevel er det snakk om store problemer for de eierne som blir hacket:
Annonse
