SamsungのAndroidアプリ署名キーが漏えいし、マルウェアに悪用される
(arstechnica.com)- 開発者の暗号署名キーは、Androidセキュリティの中核要素
- Google Androidセキュリティチームの投稿では、漏えいしたキーについて説明されており、その一部はSamsung/LG/MediaTekが所有するキー
- しかもこれらのキーは「プラットフォーム証明書キー」であり、ほぼrootアクセスに近い
- システム上で「android」アプリを認証するために使われるキー
- この「android」アプリは、権限の高いユーザーIDである「android.uid.system」として実行され、ユーザーデータへのアクセス権限とシステム権限を持つ
- この証明書で署名されたすべてのアプリは、Android OSに対して同じレベルの権限で実行可能
- 漏えいしたSamsungのキーは、Samsung Pay、Bixby、電話アプリなど、約101ページにわたる数百本のアプリで使われていた
- しかもSamsungは今日に至るまで当該キーを置き換えていない
- さらに奇妙なのは、APKMirrorの創設者によれば、VirusTotalでそのキーにより署名されたマルウェアは2016年のものだという点
- つまり6年前からそうだったということだが、Samsungに問い合わせると次のように回答した
「SamsungはGalaxyデバイスのセキュリティを重視しており、2016年から当該問題を認識してセキュリティパッチを実施してきました。現在まで、この脆弱性に関連するセキュリティ事故は確認されていません。常にソフトウェアアップデートによってデバイスを最新の状態に保つことを推奨します。」
- つまり6年前からそうだったということだが、Samsungに問い合わせると次のように回答した
- 正直、これは筋が通らない。なぜこれを何年も前から把握していながら、漏えいしたキーを使い続けているのか?
- すでに販売された携帯電話の更新には難しさがあるかもしれないが、2016年以降もSamsungは多数の新しいデバイスを作ってきた。数年前の時点で新しいキーでOSビルドを行っているべきだったように思えるが…
- Androidセキュリティチームは「このキー漏えい事案について報告を受け、OEMパートナーは対応策を実装した。また、Build Test Suiteでもマルウェアを検出しており、Google Playでも同様にマルウェアを検出している」と述べている
- OEM各社は速やかに侵害されたキーを置き換えるべきだ。Samsungがなぜまだそのキーを使い続けているのかは明確ではない
- AndroidのAPK Signature Scheme V3を使えば、開発者はアップデートだけでアプリキーを変更できる
- Google PlayはV3を必須としているが、一部のOEMはいまだにV2を利用中
7件のコメント
https://news.einfomax.co.kr/news/articleView.html?idxno=4245304
これが出て数日もしないうちに……PAYCOの署名キー騒動がかなり騒がしいですね。
でも……なぜこの件は静かなんでしょう? 笑..
これは、サムスンがマルウェアを管理しているのではないかと疑える証拠ではないか、という趣旨の書き込みですよね?
そこまでではないようです。大きな対応もせず、そのまま放置しているという印象です。
APK signature scheme v3 は利用可能ですが、
昨年から key rotation 機能はまもなく提供されるとアナウンスされていましたが、気がつけばもう1年半が過ぎました
へえ、そうなんですね……追加情報ありがとうございます!
なぜそうしたのかは理解できますし、なぜそれを続けたのかもある程度は察しがつきます。それでも、やはり続けていたのはそういうものですね。
これ本当?