Enquanto o Google desenvolve seu sistema operacional móvel Android de código aberto , os “fabricantes de equipamentos originais” que fabricam smartphones Android, como a Samsung, desempenham um papel importante na adaptação e proteção do sistema operacional para seus dispositivos. Mas uma nova descoberta que o Google tornou público na quinta-feira revela que vários certificados digitais usados por fornecedores para validar aplicativos vitais do sistema foram comprometidos recentemente e já foram abusados para colocar um selo de aprovação em aplicativos Android maliciosos.
Como acontece com quase todos os sistemas operacionais de computador, o Android do Google é projetado com um modelo de “privilégio”, portanto, diferentes softwares executados em seu telefone Android, de aplicativos de terceiros ao próprio sistema operacional, são restritos o máximo possível e apenas permitem o acesso ao sistema com base em suas necessidades. Isso impede que o jogo mais recente que você está jogando colete silenciosamente todas as suas senhas, permitindo que seu aplicativo de edição de fotos acesse o rolo da câmera, e toda a estrutura é reforçada por certificados digitais assinados com chaves criptográficas. Se as chaves forem comprometidas, os invasores podem conceder a seus próprios softwares permissões que não deveriam.
O Google disse em um comunicado na quinta-feira que os fabricantes de dispositivos Android lançaram mitigações, alternando chaves e enviando as correções para os telefones dos usuários automaticamente. E a empresa adicionou detecções de scanner para qualquer malware que tente abusar dos certificados comprometidos. O Google disse que não encontrou evidências de que o malware tenha entrado na Google Play Store, o que significa que estava circulando por meio de distribuição de terceiros. A divulgação e coordenação para lidar com a ameaça aconteceram por meio de um consórcio conhecido como Android Partner Vulnerability Initiative.
“Embora esse ataque seja muito ruim, tivemos sorte desta vez, pois os OEMs podem alternar rapidamente as chaves afetadas enviando atualizações de dispositivos sem fio”, diz Zack Newman, pesquisador da empresa de segurança da cadeia de suprimentos de software Chainguard, que fez algumas análises do incidente.
Abusar dos “certificados de plataforma” comprometidos permitiria que um invasor criasse um malware ungido e com amplas permissões sem a necessidade de enganar os usuários para concedê-los. O relatório do Google, do engenheiro reverso do Android Łukasz Siewierski, fornece algumas amostras de malware que estavam se aproveitando dos certificados roubados. Eles apontam a Samsung e a LG como duas das fabricantes cujos certificados foram comprometidos, entre outras.
A LG não retornou um pedido de comentário da WIRED. A Samsung reconheceu o compromisso em um comunicado e disse que “não houve incidentes de segurança conhecidos relacionados a essa vulnerabilidade em potencial”.
Embora o Google pareça ter detectado o problema antes que ele aumentasse, o incidente ressalta a realidade de que as medidas de segurança podem se tornar pontos únicos de falha se não forem projetadas com cuidado e com o máximo de transparência possível. O próprio Google estreou um mecanismo no ano passado chamado Google Binary Transparency, que pode atuar como uma verificação para saber se a versão do Android em execução em um dispositivo é a versão verificada pretendida. Existem cenários em que os invasores podem ter tanto acesso ao sistema de um alvo que podem derrotar essas ferramentas de registro, mas vale a pena implantá-las para minimizar os danos e sinalizar comportamentos suspeitos no maior número possível de situações.
Como sempre, a melhor defesa para os usuários é manter o software atualizado em todos os seus dispositivos .
“A realidade é que veremos os invasores continuarem atrás desse tipo de acesso”, diz Newman, da Chainguard. “Mas esse desafio não é exclusivo do Android, e a boa notícia é que os engenheiros e pesquisadores de segurança fizeram progressos significativos na criação de soluções que previnem, detectam e permitem a recuperação desses ataques.”
Fonte Leia mais: https://www.wired.com/story/android-platform-certificates-malware/
