Vulnerabilidade de longa duração afetou LG, Samsung e outros fabricantes relacionados ao Android
Baked into Android é um sistema que confia em aplicativos assinados pela mesma chave usada para autenticar o próprio sistema operacional. Então você pode ver qual é o problema aqui. Um malfeitor com o controle dessas chaves pode fazer com que aplicativos carregados de malware “confiem” no Android no nível do sistema. Isso é como dar a um ladrão as chaves da sua casa e do seu carro com a sua aprovação. Todos e quaisquer dados em dispositivos vulneráveis podem estar em risco. E algumas dessas chaves são usadas para assinar aplicativos regulares instalados da Play Store ou carregados de outras vitrines de aplicativos Android.
Não há rodeios quando se trata dessa vulnerabilidade.
Rahman twittou que as chaves de assinatura vazadas não podem ser usadas para instalar atualizações over-the-air que estão comprometidas. E ele acrescenta que o sistema Play Store Protect pode sinalizar aplicativos assinados pelas chaves vazadas como potencialmente prejudiciais.
Embora todas as fontes das chaves vazadas ainda não tenham sido identificadas, as empresas nomeadas incluem as seguintes:
- Samsung
- LG
- Mediatek
- Szroco (empresa que produz os tablets Onn do Walmart)
- Revisão de revisão
O Google diz que a vulnerabilidade foi relatada em maio deste ano e que as empresas envolvidas “tomaram medidas de remediação para minimizar o impacto do usuário”. Não é exatamente o sinal de “tudo limpo”, especialmente à luz da notícia de que o APK Mirror recentemente encontrou algumas das chaves de assinatura vulneráveis em aplicativos Android da Samsung.
Um porta-voz do Google disse: “Os parceiros OEM prontamente implementaram medidas de mitigação assim que relatamos o comprometimento principal. Os usuários finais serão protegidos por mitigações de usuário implementadas por parceiros OEM. imagens. O Google Play Protect também detecta o malware. Não há indicação de que esse malware esteja ou tenha estado na Google Play Store. Como sempre, aconselhamos os usuários a garantir que estejam executando a versão mais recente do Android.”
O que você precisa fazer para limitar sua exposição
O Google está recomendando que as empresas envolvidas troquem as chaves de assinatura atualmente em uso e parem de usar as que vazaram. Também sugere que cada empresa inicie uma investigação para entender como as chaves vazaram. Esperançosamente, isso impediria que algo assim acontecesse novamente no futuro. O Google também está recomendando que as empresas usem teclas de canto para o número mínimo de aplicativos para reduzir o número de possíveis vazamentos no futuro.
Então, o que você pode fazer como proprietário de um telefone Android possivelmente afetado? Certifique-se de que seu aparelho esteja executando a versão mais recente do Android e instale todas as atualizações de segurança assim que chegarem. Quem se importa se essas atualizações não trazem novos recursos empolgantes, pois o trabalho deles é garantir que seu dispositivo não seja comprometido. E os usuários do Android devem evitar aplicativos de sideload. É quando você instala um aplicativo originário de uma loja de aplicativos de terceiros.
Vulnerabilidade de longa duração afetou LG, Samsung e outros fabricantes relacionados ao Android
Baked into Android é um sistema que confia em aplicativos assinados pela mesma chave usada para autenticar o próprio sistema operacional. Então você pode ver qual é o problema aqui. Um malfeitor com o controle dessas chaves pode fazer com que aplicativos carregados de malware “confiem” no Android no nível do sistema. Isso é como dar a um ladrão as chaves da sua casa e do seu carro com a sua aprovação. Todos e quaisquer dados em dispositivos vulneráveis podem estar em risco. E algumas dessas chaves são usadas para assinar aplicativos regulares instalados da Play Store ou carregados de outras vitrines de aplicativos Android.
Não há rodeios quando se trata dessa vulnerabilidade.
Rahman twittou que as chaves de assinatura vazadas não podem ser usadas para instalar atualizações over-the-air que estão comprometidas. E ele acrescenta que o sistema Play Store Protect pode sinalizar aplicativos assinados pelas chaves vazadas como potencialmente prejudiciais.
Embora todas as fontes das chaves vazadas ainda não tenham sido identificadas, as empresas nomeadas incluem as seguintes:
- Samsung
- LG
- Mediatek
- Szroco (empresa que produz os tablets Onn do Walmart)
- Revisão de revisão
O Google diz que a vulnerabilidade foi relatada em maio deste ano e que as empresas envolvidas “tomaram medidas de remediação para minimizar o impacto do usuário”. Não é exatamente o sinal de “tudo limpo”, especialmente à luz da notícia de que o APK Mirror recentemente encontrou algumas das chaves de assinatura vulneráveis em aplicativos Android da Samsung.
Um porta-voz do Google disse: “Os parceiros OEM prontamente implementaram medidas de mitigação assim que relatamos o comprometimento principal. Os usuários finais serão protegidos por mitigações de usuário implementadas por parceiros OEM. imagens. O Google Play Protect também detecta o malware. Não há indicação de que esse malware esteja ou tenha estado na Google Play Store. Como sempre, aconselhamos os usuários a garantir que estejam executando a versão mais recente do Android.”
O que você precisa fazer para limitar sua exposição
O Google está recomendando que as empresas envolvidas troquem as chaves de assinatura atualmente em uso e parem de usar as que vazaram. Também sugere que cada empresa inicie uma investigação para entender como as chaves vazaram. Esperançosamente, isso impediria que algo assim acontecesse novamente no futuro. O Google também está recomendando que as empresas usem teclas de canto para o número mínimo de aplicativos para reduzir o número de possíveis vazamentos no futuro.
Então, o que você pode fazer como proprietário de um telefone Android possivelmente afetado? Certifique-se de que seu aparelho esteja executando a versão mais recente do Android e instale todas as atualizações de segurança assim que chegarem. Quem se importa se essas atualizações não trazem novos recursos empolgantes, pois o trabalho deles é garantir que seu dispositivo não seja comprometido. E os usuários do Android devem evitar aplicativos de sideload. É quando você instala um aplicativo originário de uma loja de aplicativos de terceiros.
