Während Google sich entwickelt sein Open-Source-Mobilbetriebssystem Android spielen die „Original Equipment Manufacturers“, die Android-Smartphones herstellen, wie Samsung, eine große Rolle bei der Anpassung und Sicherung des Betriebssystems für ihre Geräte. Aber eine neue Erkenntnis, die Google öffentlich gemacht am Donnerstag enthüllt, dass eine Reihe von digitalen Zertifikaten, die von Anbietern zur Validierung wichtiger Systemanwendungen verwendet werden, kürzlich kompromittiert und bereits missbraucht wurden, um bösartigen Android-Apps ein Gütesiegel zu verleihen.
Wie fast jedes Computer-Betriebssystem ist Googles Android mit einem „Privileg“-Modell ausgestattet, sodass verschiedene Software, die auf Ihrem Android-Telefon ausgeführt wird, von Drittanbieter-Apps bis hin zum Betriebssystem selbst, so weit wie möglich eingeschränkt ist und nur Systemzugriff gewährt wird basierend auf ihren Bedürfnissen. Dies hält das neueste Spiel, das Sie spielen, davon ab, alle Ihre Passwörter zu sammeln, während Ihre Fotobearbeitungs-App auf Ihre Kamerarolle zugreifen kann, und die gesamte Struktur wird durch digitale Zertifikate erzwungen, die mit kryptografischen Schlüsseln signiert sind. Wenn die Schlüssel kompromittiert sind, können Angreifer ihrer eigenen Software Berechtigungen erteilen, die sie nicht haben sollte.
Google sagte in einer Erklärung am Donnerstag, dass die Hersteller von Android-Geräten Abschwächungen eingeführt, Schlüssel rotiert und die Fehlerbehebungen automatisch auf die Telefone der Benutzer übertragen hätten. Und das Unternehmen hat Scanner-Erkennungen für Malware hinzugefügt, die versucht, die kompromittierten Zertifikate zu missbrauchen. Google sagte, es habe keine Beweise dafür gefunden, dass sich die Malware in den Google Play Store eingeschlichen habe, was bedeutet, dass sie über den Vertrieb durch Drittanbieter die Runde gemacht habe. Die Offenlegung und Koordination zur Bekämpfung der Bedrohung erfolgte durch ein Konsortium namens Android Partner Vulnerability Initiative.
„Obwohl dieser Angriff ziemlich schlimm ist, hatten wir dieses Mal Glück, da OEMs die betroffenen Schlüssel schnell rotieren können, indem sie Over-the-Air-Geräteupdates versenden“, sagt Zack Newman, ein Forscher bei der Software-Supply-Chain-Sicherheitsfirma Chainguard, die habe einige gemacht Analyse des Vorfalls.
Der Missbrauch der kompromittierten „Plattformzertifikate“ würde es einem Angreifer ermöglichen, Malware zu erstellen, die gesalbt ist und über umfangreiche Berechtigungen verfügt, ohne Benutzer dazu verleiten zu müssen, sie zu gewähren. Der Google-Bericht von Android Reverse Engineer Łukasz Siewierski enthält einige Malware-Beispiele, die sich die gestohlenen Zertifikate zunutze gemacht haben. Sie verweisen unter anderem auf Samsung und LG als zwei der Hersteller, deren Zertifikate kompromittiert wurden.
LG hat eine Anfrage von WIRED nach einem Kommentar nicht beantwortet. Samsung räumte die Kompromittierung in einer Erklärung ein und sagte, dass „es keine bekannten Sicherheitsvorfälle in Bezug auf diese potenzielle Schwachstelle gegeben hat“.
Obwohl Google das Problem anscheinend erkannt hat, bevor es zu einer Spirale kam, unterstreicht der Vorfall die Realität, dass Sicherheitsmaßnahmen zu Single Points of Failure werden können, wenn sie nicht durchdacht und mit so viel Transparenz wie möglich gestaltet werden. Google selbst hat im vergangenen Jahr einen Mechanismus namens Google Binary Transparency eingeführt, mit dem überprüft werden kann, ob die auf einem Gerät ausgeführte Version von Android die beabsichtigte, verifizierte Version ist. Es gibt Szenarien, in denen Angreifer so viel Zugriff auf das System eines Ziels haben könnten, dass sie solche Protokollierungstools ausschalten könnten, aber es lohnt sich, sie einzusetzen, um den Schaden zu minimieren und verdächtiges Verhalten in so vielen Situationen wie möglich zu melden.
Wie immer besteht die beste Verteidigung für Benutzer darin, die Software auf allen ihren Geräten auf dem neuesten Stand zu halten.
„Die Realität ist, dass Angreifer weiterhin nach dieser Art von Zugriff suchen werden“, sagt Newman von Chainguard. „Aber diese Herausforderung ist nicht nur auf Android beschränkt, und die gute Nachricht ist, dass Sicherheitsingenieure und -forscher erhebliche Fortschritte bei der Entwicklung von Lösungen gemacht haben, die diese Angriffe verhindern, erkennen und die Wiederherstellung nach diesen Angriffen ermöglichen.“