Platformcertificaten van onder andere Samsung, MediaTek en LG zijn gebruikt voor het signeren van Androidmalware, zo stelt Google in een rapport. Een platformcertificaat wordt gebruikt voor het signeren van belangrijke systeemapplicaties. Androidfabrikanten gebruiken de certificaten voor het signeren van de Android-images die op telefoons worden geïnstalleerd en het Android-besturingssysteem en bijbehorende applicaties bevatten.
Applicaties die met een platformcertificaat gesigneerd zijn draaien met het 'highly privileged user id' android.uid.system. Deze user beschikt over allerlei systeempermissies, bijvoorbeeld om toegang tot gegevens van gebruikers te krijgen. Elke andere applicatie die met hetzelfde certificaat is gesigneerd kan aangeven dat het met dezelfde user id wil draaien, waardoor het dezelfde toegang tot het Android-besturingssysteem krijgt, zo laat Lukasz Siewierski van Googles Android Security team weten.
Siewierski ontdekte tien malware-exemplaren voor Android die met certificaten van verschillende Androidfabrikanten zijn gesigneerd. Hoe het mogelijk is dat de certificaten hiervoor zijn gebruikt is onbekend en wordt niet door de Google-medewerker gemeld. Wel zijn de betreffende fabrikanten ingelicht, die werden aangeraden om het platformcertificaat te roteren door die te vervangen door een nieuwe set van public en private keys.
Ook adviseerde Google dat de fabrikanten een intern onderzoek naar de oorzaak zouden moeten starten en maatregelen nemen om herhaling in de toekomst te voorkomen. Volgens Siewierski hebben de betreffende fabrikanten maatregelen getroffen om de impact voor gebruikers te beperken, maar verdere details worden niet gegeven.
In een reactie tegenover 9to5Google laat Google weten dat er geen aanwijzingen zijn dat de malware in de Play Store is verschenen. Hieronder de tien betreffende malware-applicaties met een link naar VirusTotal.
Deze posting is gelocked. Reageren is niet meer mogelijk.