คีย์ลงนามแอป Android ของ Samsung รั่วไหลและถูกนำไปใช้กับมัลแวร์

 (arstechnica.com)
11 คะแนน โดย xguru 2022-12-05 | 7 ความคิดเห็น | แชร์ทาง WhatsApp
  • คีย์ลงนามเข้ารหัสของนักพัฒนาเป็นองค์ประกอบสำคัญของความปลอดภัยบน Android
  • มีโพสต์จากทีมความปลอดภัย Android ของ Google ที่อธิบายเกี่ยวกับคีย์ที่รั่วไหล โดยมีบางคีย์เป็นของ Samsung/LG/Mediatek
  • ที่สำคัญ คีย์เหล่านี้เป็นถึง "platform certificate key" จึงแทบจะใกล้เคียงกับการเข้าถึงระดับ root
    • เป็นคีย์ที่ใช้รับรองแอประบบ "android"
    • แอป "android" นี้ทำงานด้วย user ID สิทธิ์สูงอย่าง "android.uid.system" จึงมีสิทธิ์เข้าถึงข้อมูลผู้ใช้และสิทธิ์ระดับระบบ
    • แอปทั้งหมดที่ลงนามด้วยใบรับรองนี้สามารถทำงานด้วยสิทธิ์ระดับเดียวกันต่อ Android OS ได้
  • คีย์ที่รั่วของ Samsung ถูกใช้กับแอปหลายร้อยตัวในราว 101 หน้า เช่น Samsung Pay, Bixby และแอปโทรศัพท์
    • ที่น่าตกใจคือ Samsung ยังไม่ได้เปลี่ยนคีย์ดังกล่าวจนถึงวันนี้
  • เรื่องที่ยิ่งแปลกกว่านั้นคือ ผู้ก่อตั้ง APKMirror บอกว่ามัลแวร์ที่ลงนามด้วยคีย์นี้ใน VirusTotal เป็นของตั้งแต่ปี 2016
    • หมายความว่าเรื่องนี้เป็นแบบนี้มาตั้งแต่ 6 ปีก่อน.. เมื่อถาม Samsung ก็ได้รับคำตอบดังนี้

      "Samsung ให้ความสำคัญกับความปลอดภัยของอุปกรณ์ Galaxy และรับทราบปัญหานี้มาตั้งแต่ปี 2016 โดยได้ดำเนินการแพตช์ความปลอดภัยแล้ว และจนถึงขณะนี้ยังไม่มีรายงานเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับช่องโหว่นี้ เราแนะนำให้ผู้ใช้คอยอัปเดตซอฟต์แวร์ของอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ"

  • พูดตามตรง เรื่องนี้ฟังไม่สมเหตุสมผล หากรู้เรื่องนี้มาหลายปีแล้ว ทำไมยังใช้คีย์ที่รั่วอยู่?
  • แม้อาจมีความยากในการอัปเดตโทรศัพท์ที่ขายไปแล้ว แต่หลังปี 2016 Samsung ก็ออกอุปกรณ์ใหม่มาอีกจำนวนมาก ดูเหมือนว่าควรจะสร้าง OS build ด้วยคีย์ใหม่ตั้งแต่หลายปีก่อนแล้ว..
  • ทีมความปลอดภัย Android ระบุว่า "เมื่อมีการรายงานการรั่วไหลของคีย์นี้ พาร์ตเนอร์ OEM ได้ดำเนินมาตรการตอบสนองแล้ว นอกจากนี้ Build Test Suite ก็ตรวจจับมัลแวร์ได้ และ Google Play ก็ตรวจจับมัลแวร์ได้เช่นกัน"
  • OEM ควรรีบเปลี่ยนคีย์ที่ถูกกระทบโดยเร็ว ยังไม่ชัดเจนว่าทำไม Samsung จึงยังคงใช้คีย์นี้อยู่
  • หากใช้ APK Signature Scheme V3 ของ Android นักพัฒนาสามารถเปลี่ยนคีย์แอปได้ผ่านการอัปเดต
    • Google Play บังคับใช้ V3 แต่ OEM บางรายยังคงใช้ V2 อยู่

บทความที่เกี่ยวข้อง

7 ความคิดเห็น

 
ruinnel 2022-12-07

https://news.einfomax.co.kr/news/articleView.html?idxno=4245304

พอเรื่องนี้โผล่มาได้ไม่กี่วัน... ประเด็นคีย์ลงนามของ PAYCO ก็กลายเป็นเรื่องอื้ออึงกันใหญ่เลยนะครับ
แต่ก็... ทำไมเรื่องนี้ถึงเงียบจังล่ะครับ? 555..
 
geekgram 2022-12-06

ก็เป็นโพสต์ที่บอกว่า นี่ไม่ใช่หลักฐานที่ทำให้สงสัยได้หรอกหรือว่า Samsung เป็นคนจัดการมัลแวร์เอง?
 
xguru 2022-12-06

ดูเหมือนจะยังไม่ถึงขั้นนั้นนะครับ แค่ให้ความรู้สึกว่าไม่ได้รับมืออะไรเป็นชิ้นเป็นอัน และปล่อยทิ้งไว้เฉย ๆ มากกว่า
 
ganadist 2022-12-05

แม้จะใช้ APK signature scheme v3 ได้ก็ตาม,

  1. ปัจจุบันแอป Android จะถูกอัปโหลดในรูปแบบ app bundle ก่อน แล้วจึงถูกลงนามบน Google Play ด้วย signing key ที่ให้ไว้กับ Google
  2. ใน APK scheme v3 ฟังก์ชันสำหรับหมุนเวียน signing key เป็นเพียงตัวเลือก
  3. ขณะนี้ Google Play ยังไม่รองรับการหมุนเวียนคีย์

ตั้งแต่ปีก่อนก็พูดกันว่า ฟีเจอร์ key rotation จะมาในเร็ว ๆ นี้ แต่จนถึงตอนนี้ก็ผ่านไปปีครึ่งแล้ว
 
xguru 2022-12-06

โอ้ เข้าใจแล้วครับ.. ขอบคุณสำหรับข้อมูลเพิ่มเติม!
 
laeyoung 2022-12-05

พอจะเข้าใจได้ว่าทำไมถึงทำแบบนั้น และก็พอเดาได้ด้วยว่าทำไมถึงยังทำแบบนั้นต่อไป แต่ถึงอย่างนั้นการที่ยังเป็นแบบนั้นอยู่เรื่อย ๆ ก็คืออย่างนั้นแหละ
 
love7peace 2022-12-05

นี่เรื่องจริงเหรอ?