Klucz kryptograficzny dewelopera jest jednym z najważniejszych filarów bezpieczeństwa Androida. Za każdym razem, gdy system Android aktualizuje aplikację, klucz podpisywania starej aplikacji na telefonie musi być zgodny z kluczem instalowanej aktualizacji. Dopasowanie kluczy zapewnia, że aktualizacja faktycznie pochodzi od firmy, która pierwotnie stworzyła Twoją aplikację, i nie jest złośliwym przejęciem. Jeśli klucz podpisywania programisty zostanie ujawniony, każdy może rozpowszechniać złośliwe aktualizacje aplikacji, a Android chętnie je zainstaluje, myśląc, że są legalne.
W przypadku systemu Android proces aktualizacji aplikacji nie ogranicza się tylko do aplikacji pobranych ze sklepu App Store, ale także dołączonych aplikacji systemowych stworzonych przez firmę Google, producenta Twojego urządzenia oraz wszelkich innych dołączonych aplikacji. Podczas gdy pobrane aplikacje mają ścisły zestaw uprawnień i kontroli, aplikacje na Androida w pakiecie mają dostęp do potężniejszych i inwazyjnych uprawnień i nie podlegają zwykłym ograniczeniom Sklepu Play (dlatego Facebook zawsze stara się być aplikacją w pakiecie). Jeśli programista zewnętrzny straci klucz do podpisywania, byłoby to złe. Jeśli było OEM Androida Zgubiłem klucz podpisywania aplikacji systemowej, byłoby naprawdę źle.
Zgadnij co się stało! Łukasz Siewierski, członek zespołu Google ds. bezpieczeństwa Androida, opublikował post w Android Partner Issue Tracker (AVPI) szczegółowo opisujący Wyciekły klucze certyfikatów platformy które są aktywnie wykorzystywane do podpisywania złośliwego oprogramowania. Post to tylko lista przełączników, ale każdy z nich jest włączony APKMirror lub google WirusTotal Witryna wyświetli nazwy niektórych zaatakowanych kluczy: SAMSUNGi LGI mediatech Są to ciężkie hity na liście wyciekających przełączników, wraz z niektórymi mniejszymi producentami OEM, takimi jak przegląd i Szroco, co sprawia, że Onn dyski z Walmart.
Klucze do podpisywania tych firm zostały w jakiś sposób ujawnione nieznajomym, a teraz nie można ufać, że aplikacje, które twierdzą, że pochodzą od tych firm, w rzeczywistości pochodzą od nich. Co gorsza, utracone przez nich „klucze certyfikatu platformy” zawierały pewne poważne uprawnienia. Cytując post AVPI:
Certyfikat platformy to certyfikat podpisywania aplikacji służący do podpisywania aplikacji „android” do obrazu systemu. Aplikacja „Android” działa z wysoce uprzywilejowanym identyfikatorem użytkownika — android.uid.system — i posiada uprawnienia systemowe, w tym uprawnienia dostępu do danych użytkownika. Każda inna aplikacja podpisana tym samym certyfikatem może zadeklarować, że chce działać z tym samym identyfikatorem użytkownika, dając jej ten sam poziom dostępu do systemu operacyjnego Android.
