Лукаш Сивьерски из Google сообщил, что хакеры могли получить ключи, используемые несколькими производителями Android-устройств для подписи своих системных приложений. Эти ключи призваны гарантировать, что приложениям и даже версиям операционной системы Android на устройстве можно доверять. Как видим, это доверие оказалось неоправданным.

Встроенный механизм Android доверяет приложениям, подписанным тем же ключом, который используется для аутентификации самой системы. Получивший контроль над ключами злоумышленник может заставить Android доверять вредоносным приложениям на системном уровне. Естественно, после этого хранящиеся на устройстве персональные данные могут быть украдены. Некоторые из этих ключей используются для подписи приложений из Play Store или из любого другого источника.

Мишаал Рахман с сайта 9to5Google написал в Твиттере, что ключи нельзя использовать для установки вредоносных обновлений на устройства по воздуху. Система Play Store Protect может помечать подписанные с помощью утекших ключей приложения как потенциально опасные.

Хотя полный перечень источников утечки ключей ещё не установлен, среди пострадавших компаний есть Samsung, LG, MediaTek, Szroco (производящая планшеты Walmart Onn).

Google пишет, что об уязвимости стало известно в мае и затронутые компании «приняли меры, чтобы свести к минимуму воздействие на пользователей». Вот только на сайте APK Mirror недавно обнаружили некоторые уязвимые ключи в приложениях для Android от Samsung.

В сообщении Google сказано, что пользователи Android были защищены функцией Google Play Store Protect и производителями. По мнению Google, этот эксплоит не повлиял на скачанные из Play Store приложения. «OEM-партнёры оперативно приняли меры по смягчению последствий, как только мы сообщили о компрометации. Механизм Google Play Protect также обнаруживает вредоносное ПО. Нет свидетельств того, что вредоносное ПО находится или находилось в магазине Google Play. Пользователям рекомендуется работать с последней версией Android».

Google советует партнёрам поменять используемые сейчас ключи для подписей и прекратить применять скомпрометированные. Также каждой компании следует провести расследование относительно того, как произошла утечка ключей.

Рекомендация Google пользоваться последней версией программного обеспечения вряд ли может быть реализована на практике большинством пользователей. Значительная часть устройств на Android обновляется до следующей версии один или два раза, а старые и дешёвые устройства навсегда остаются на выпущенных несколько лет назад версиях Android, пишет Phonearena.