Samsung की Android app signing key लीक होकर malware में इस्तेमाल हो रही है

 (arstechnica.com)
11 पॉइंट द्वारा xguru 2022-12-05 | 7 टिप्पणियां | WhatsApp पर शेयर करें
  • डेवलपर की cryptographic signing key, Android सुरक्षा का एक मुख्य तत्व है
  • Google Android security team की पोस्ट में लीक हुई keys के बारे में विवरण है, और उनमें कुछ keys Samsung/LG/Mediatek की हैं
  • यहाँ तक कि ये keys "platform certificate key" हैं, इसलिए इनसे लगभग root access के बराबर अधिकार मिलते हैं
    • ये system में "android" app को authenticate करने के लिए इस्तेमाल होने वाली keys हैं
    • यह "android" app, उच्च-विशेषाधिकार वाले user ID "android.uid.system" के रूप में चलता है और user data access permissions तथा system privileges रखता है
    • इस certificate से signed सभी apps, Android OS पर उसी स्तर के अधिकारों के साथ चल सकते हैं
  • Samsung की लीक हुई key, Samsung Pay, Bixby, Phone app आदि सहित लगभग 101 pages पर मौजूद सैकड़ों apps में इस्तेमाल हुई
    • यहाँ तक कि Samsung ने आज तक भी उस key को replace नहीं किया है
  • और भी अजीब बात यह है कि APKMirror के संस्थापक के अनुसार, VirusTotal पर उस key से signed malware 2016 का है
    • यानी यह 6 साल पहले से हो रहा था.. Samsung से पूछने पर उसने यह कहा

      "Samsung Galaxy devices की security को महत्वपूर्ण मानता है, 2016 से इस issue से अवगत है और security patches लागू करता आया है, तथा अब तक इस vulnerability से जुड़ी कोई security incident ज्ञात नहीं है। हम हमेशा software updates के जरिए devices को up to date रखने की सलाह देते हैं."

  • ईमानदारी से कहें तो यह बात समझ में नहीं आती। अगर वे इसे कई सालों से जानते थे, तो लीक हुई key का उपयोग क्यों करते रहे?
  • पहले से बेचे गए phones को update करने में कठिनाई हो सकती है, लेकिन 2016 के बाद Samsung ने बहुत सारे नए devices बनाए हैं। लगता है कि उसे कई साल पहले ही नई key के साथ OS build करना चाहिए था..
  • Android security team का कहना है कि "इस key leak की रिपोर्ट होने के बाद, OEM partners ने mitigation measures लागू किए हैं। साथ ही Build Test Suite malware को detect कर रहा है, और Google Play भी malware detect कर रहा है"
  • OEMs को compromised keys जल्द बदल देनी चाहिए। Samsung अभी भी उस key का उपयोग क्यों कर रहा है, यह स्पष्ट नहीं है
  • Android के APK Signature Scheme V3 का उपयोग करने पर डेवलपर केवल update के जरिए app key बदल सकते हैं
    • Google Play, V3 को enforce करता है, लेकिन कुछ OEMs अभी भी V2 का उपयोग कर रहे हैं

संबंधित पढ़ाई

7 टिप्पणियां

 
ruinnel 2022-12-07

https://news.einfomax.co.kr/news/articleView.html?idxno=4245304

यह सामने आने के कुछ ही दिनों में... PAYCO signing key वाला मामला काफी शोर मचा रहा है।
लेकिन ... यह मामला इतना शांत क्यों है? haha..
 
geekgram 2022-12-06

क्या यह ऐसा लेख नहीं है जिसे इस बात के सबूत के रूप में देखा जा सकता है कि Samsung पर malware को मैनेज करने का शक किया जा सकता है?
 
xguru 2022-12-06

ऐसा लगता है कि बात वहाँ तक नहीं पहुँची है। बस ऐसा महसूस होता है कि वे कोई बड़ी प्रतिक्रिया दिए बिना इसे यूँ ही छोड़ रहे हैं।
 
ganadist 2022-12-05

APK signature scheme v3 का इस्तेमाल किया जा सकता है,

  1. फिलहाल Android ऐप्स को app bundle फ़ॉर्मेट में अपलोड किया जाता है, और फिर Google Play पर Google को दी गई signing key से साइन किया जाता है
  2. APK scheme v3 में signing key rotation की सुविधा वैकल्पिक है
  3. Google Play अभी तक key rotation को सपोर्ट नहीं करता।

पिछले साल से कहा जा रहा है कि key rotation फीचर जल्द आने वाला है, लेकिन ऐसा कहते-कहते डेढ़ साल से ज़्यादा हो चुका है।
 
xguru 2022-12-06

अरे, ऐसा है.. अतिरिक्त जानकारी के लिए धन्यवाद!
 
laeyoung 2022-12-05

क्यों ऐसा हुआ, यह कुछ हद तक समझ में आता है, और क्यों यह बार-बार होता रहा, इसका भी थोड़ा अंदाज़ा लगाया जा सकता है। फिर भी, बार-बार ऐसा होना अपनी जगह समस्या तो है ही।
 
love7peace 2022-12-05

क्या ये सच है?