Khóa ký ứng dụng Android của Samsung bị rò rỉ và bị dùng cho phần mềm độc hại

 (arstechnica.com)
11 điểm bởi xguru 2022-12-05 | 7 bình luận | Chia sẻ qua WhatsApp
  • Khóa chữ ký mật mã của nhà phát triển là yếu tố cốt lõi của bảo mật Android
  • Có một bài viết do nhóm bảo mật Android của Google đăng tải giải thích về các khóa bị rò rỉ, trong đó một số khóa thuộc sở hữu của Samsung/LG/Mediatek
  • Thậm chí các khóa này còn là "khóa chứng chỉ nền tảng", nên gần như tương đương với quyền truy cập root
    • Đây là khóa dùng để xác thực ứng dụng "android" trên hệ thống
    • Ứng dụng "android" này chạy với ID người dùng có đặc quyền cao là "android.uid.system", nên có quyền truy cập dữ liệu người dùng và quyền hệ thống
    • Mọi ứng dụng được ký bằng chứng chỉ này đều có thể chạy với cùng mức đặc quyền đối với hệ điều hành Android
  • Khóa bị rò rỉ của Samsung đã được dùng cho hàng trăm ứng dụng trên khoảng 101 trang, gồm cả Samsung Pay, Bixby, ứng dụng Điện thoại và nhiều ứng dụng khác
    • Thậm chí cho đến hôm nay Samsung vẫn chưa thay khóa đó
  • Điều còn kỳ lạ hơn là theo lời nhà sáng lập APKMirror, phần mềm độc hại được ký bằng khóa này trên VirusTotal có từ năm 2016
    • Tức là chuyện này đã diễn ra từ 6 năm trước... Khi hỏi Samsung thì họ trả lời như sau

      "Samsung coi trọng bảo mật của thiết bị Galaxy, đã nhận thức được vấn đề này từ năm 2016 và đã triển khai các bản vá bảo mật; cho đến nay chưa có sự cố bảo mật nào được biết là liên quan đến lỗ hổng này. Chúng tôi luôn khuyến nghị người dùng giữ thiết bị ở trạng thái mới nhất bằng các bản cập nhật phần mềm."

  • Thành thật mà nói điều này không hợp lý. Tại sao họ biết điều này suốt nhiều năm mà vẫn tiếp tục dùng khóa đã bị lộ?
  • Có thể việc cập nhật các điện thoại đã bán ra là khó khăn, nhưng từ sau năm 2016 Samsung đã tạo ra vô số thiết bị mới. Có vẻ như họ lẽ ra phải xây dựng OS bằng khóa mới từ vài năm trước rồi...
  • Nhóm bảo mật Android cũng nói rằng: "Sau khi báo cáo vụ rò rỉ khóa này, các đối tác OEM đã triển khai biện pháp ứng phó. Ngoài ra Build Test Suite cũng đang phát hiện phần mềm độc hại, và Google Play cũng vậy."
  • Các OEM cần nhanh chóng thay thế các khóa đã bị xâm phạm. Hiện vẫn chưa rõ vì sao Samsung còn tiếp tục dùng khóa đó
  • Với APK Signature Scheme V3 của Android, nhà phát triển có thể đổi khóa ứng dụng chỉ bằng một bản cập nhật
    • Google Play bắt buộc dùng V3, nhưng một số OEM vẫn đang dùng V2

Bài viết liên quan

7 bình luận

 
ruinnel 2022-12-07

https://news.einfomax.co.kr/news/articleView.html?idxno=4245304

Mới nổi lên được mấy ngày mà... vụ khóa ký của PAYCO đã ồn ào lắm rồi.
Nhưng mà ... sao vụ này lại im ắng vậy nhỉ? haha..
 
geekgram 2022-12-06

Ý của bài viết này là: chẳng phải đây là bằng chứng khiến người ta có thể nghi ngờ rằng Samsung đang quản lý phần mềm độc hại hay sao?
 
xguru 2022-12-06

Có vẻ không đến mức đó. Chỉ là tạo cảm giác họ đang không có phản ứng lớn nào và cứ để mặc như vậy thôi.
 
ganadist 2022-12-05

APK signature scheme v3 thì có thể dùng được,

  1. Hiện tại ứng dụng Android được tải lên dưới dạng app bundle, sau đó được Google Play ký bằng khóa ký đã cung cấp cho Google
  2. Trong APK scheme v3, tính năng xoay vòng khóa ký chỉ là một tùy chọn
  3. Google Play hiện vẫn chưa hỗ trợ key rotation.

Từ năm ngoái đã nói là tính năng key rotation sẽ sớm được cung cấp, vậy mà đến giờ đã hơn 1 năm rưỡi.
 
xguru 2022-12-06

Ôi vậy à.. Cảm ơn bạn đã cung cấp thêm thông tin!
 
laeyoung 2022-12-05

Tôi cũng phần nào hiểu vì sao họ đã làm vậy, và cũng đoán được vì sao họ cứ tiếp tục làm thế. Dù vậy, cứ tiếp tục như thế thì vẫn là có vấn đề.
 
love7peace 2022-12-05

Chuyện này là thật à?