Android-Nutzer aufgepasst

Zertifikate von Samsung, LG und Co. kompromittiert

02.12.2022
Von 


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Hacker oder Insider haben Plattformzertifikate mehrerer Android-OEM-Gerätehersteller geleakt. Damit signierte, bösartige Apps erhalten die gleichen Zugriffsrechte wie das Android-Betriebssystem.
Dank geleakten Hersteller-Zertifikaten kann als normale Android-Apps getarnte Malware auf sensible Berechtigungen zugreifen.
Dank geleakten Hersteller-Zertifikaten kann als normale Android-Apps getarnte Malware auf sensible Berechtigungen zugreifen.
Foto: Jane0606 - shutterstock.com

OEM-Hersteller von Android-Geräten verwenden Plattform-Zertifikate oder Plattform-Schlüssel, um die ROM-Images der Geräte zu signieren, die das Android-Betriebssystem und die zugehörigen Apps enthalten. Wenn Apps, auch bösartige, mit demselben Plattform-Zertifikat signiert werden und ihnen die hochprivilegierte Benutzerkennung "android.uid.system" zugewiesen wird, erhalten diese Apps auch Zugriff auf das Android-Gerät auf Systemebene. Diese Privilegien ermöglichen den Zugriff auf sensible Berechtigungen, die Apps normalerweise nicht gewährt werden, wie z. B. die Verwaltung laufender Anrufe, die Installation oder Löschung von Paketen, das Sammeln von Informationen über das Gerät und andere hochsensible Aktionen.

Wie aus einem Bericht auf dem Android Partner Vulnerability Initiative (AVPI) Issue Tracker hervorgeht, hatte Google nun diese missbräuchliche Verwendung von Plattformschlüsseln entdeckt. Lukasz Siewierski, Reverse Engineer im Android Security Team von Google, fand mehrere Malware-Samples, die mit Android-Plattform-Zertifikaten von OEMs signiert waren, und stellte die SHA256-Hashes für jedes der Samples und die digital signierten Zertifikate zur Verfügung.

Freibrief für alle Arten von Android-Malware

Laut einer Recherche auf VirusTotal stammen einige der missbrauchten Hersteller-Zertifikate von Samsung, LG, Revoview und MediaTek, berichtet BleepingComputer, andere Quellen konnten noch nicht identifiziert werden. Zu der mit diesen Zertifikaten signierten Malware gehören HiddenAd-Trojaner, Informationsdiebe, Metasploit und Malware-Dropper, mit denen Bedrohungsakteure zusätzliche bösartige Nutzdaten auf kompromittierte Geräte übertragen können.

Google hat inzwischen alle betroffenen Anbieter über den Missbrauch informiert und ihnen geraten, ihre Plattformzertifikate zu rotieren, indem sie es durch ein neues Set an privaten und öffentlichen Schlüssel ersetzen. Außerdem empfahl Google ihnen, die Ursache herauszufinden und Maßnahmen zu ergreifen, um einen weiteren Vorfall in der Zukunft zu verhindern. So sollten sie dringendst die Anzahl der mit ihren Android-Plattformzertifikaten signierten Apps auf ein Minimum beschränken.

Gefahr erkannt - Gefahr gebannt?

Angesichts der großen Anzahl an Apps mit diesen Zertifikaten scheint es aber nahezu unmöglich, dass die Gefahr völlig vorbei ist. Sucht man etwa auf APKmirror nach dem geleakten LG-Zertifikat werden 76 Ergebnisseiten ausgespuckt, bei einem Zertifikat von Samsung sind es sogar 101 Seiten. Dennoch beharrt Google darauf, dass alle betroffenen Parteien über den Vorfall informiert wurden und entsprechende Maßnahmen getroffen haben, um die Auswirkungen auf die Anwender zu minimieren.

Außerdem habe man eine breite Erkennung der Malware in der Build Test Suite implementiert, die System-Images scannt, erklärte die Andoid-Mutter gegenüber BleepingComputer: Google Play Protect erkenne die Malware ebenfalls und es gebe keinen Hinweis darauf, dass sich diese Malware im Google Play Store befindet oder befand. Und wie immer rate man den Nutzern, sicherzustellen, dass sie die neueste Version von Android verwenden, so Google.