La clave de firma de apps de Android de Samsung se filtró y se está usando en malware

 (arstechnica.com)
11 puntos por xguru 2022-12-05 | 7 comentarios | Compartir por WhatsApp
  • La clave de firma criptográfica del desarrollador es un elemento central de la seguridad de Android
  • En una publicación del equipo de seguridad de Android de Google se explica el tema de las claves filtradas, y algunas de ellas pertenecen a Samsung/LG/Mediatek
  • Incluso, estas claves son "claves de certificado de plataforma", por lo que otorgan un nivel de acceso casi equivalente a root
    • Son las claves usadas para autenticar la app "android" en el sistema
    • Esta app "android" se ejecuta con el ID de usuario de altos privilegios "android.uid.system", por lo que tiene acceso a datos del usuario y permisos del sistema
    • Cualquier app firmada con este certificado puede ejecutarse en Android OS con ese mismo nivel de privilegios
  • La clave filtrada de Samsung se usó en cientos de apps distribuidas en unas 101 páginas, incluidas Samsung Pay, Bixby y la app de teléfono
    • De hecho, Samsung ni siquiera había reemplazado esa clave hasta el día de hoy
  • Lo más extraño es que, según el fundador de APKMirror, el malware firmado con esa clave en VirusTotal data de 2016
    • Es decir, esto viene ocurriendo desde hace 6 años... Cuando le preguntaron a Samsung, respondió lo siguiente

      "Samsung considera importante la seguridad de los dispositivos Galaxy, reconoció este problema desde 2016 y aplicó parches de seguridad, y hasta la fecha no se han reportado incidentes de seguridad relacionados con esta vulnerabilidad. Recomendamos mantener siempre los dispositivos actualizados con las últimas actualizaciones de software."

  • Sinceramente, esto no tiene sentido. ¿Por qué siguieron usando durante años una clave filtrada si ya lo sabían?
  • Puede que haya dificultades para actualizar teléfonos ya vendidos, pero desde 2016 Samsung fabricó muchísimos dispositivos nuevos. Parecería que ya hace años debieron haber hecho builds del OS con una clave nueva...
  • El equipo de seguridad de Android dice que, "tras reportarse esta filtración de claves, los socios OEM implementaron medidas de mitigación. Además, Build Test Suite detecta el malware y Google Play también lo está detectando"
  • Los OEM deberían reemplazar cuanto antes las claves comprometidas. No está claro por qué Samsung sigue usando esa clave
  • Con APK Signature Scheme V3 de Android, los desarrolladores pueden cambiar la clave de una app solo con una actualización
    • Google Play exige V3, pero algunos OEM todavía usan V2

Lecturas relacionadas

7 comentarios

 
ruinnel 2022-12-07

https://news.einfomax.co.kr/news/articleView.html?idxno=4245304

Apenas unos días después de que saliera esto... el incidente de la clave de firma de PAYCO está causando bastante revuelo.
Pero... ¿por qué este caso está tan callado? jaja..
 
geekgram 2022-12-06

¿No sería una publicación que plantea si esto no es evidencia como para sospechar que Samsung está gestionando malware?
 
xguru 2022-12-06

No parece que llegue a tanto. Más bien da la impresión de que simplemente lo están dejando así sin tomar una gran medida al respecto.
 
ganadist 2022-12-05

El esquema de firma APK v3 se puede usar,

  1. actualmente las apps de Android se suben en formato app bundle y luego se firman en Google Play con la clave de firma proporcionada a Google
  2. en el esquema APK v3, la función para ir rotando la clave de firma es opcional
  3. Google Play todavía no soporta la rotación de claves.

Desde el año pasado vienen diciendo que la función de rotación de claves llegará pronto, y ya pasó alrededor de un año y medio.
 
xguru 2022-12-06

Vaya, ya veo... ¡Gracias por la información adicional!
 
laeyoung 2022-12-05

Entiendo por qué fue así, y también puedo imaginar por qué siguió siendo así. Aun así, que haya seguido así también es lo que es.
 
love7peace 2022-12-05

¿Esto es real?