La clé de signature d’applications Android de Samsung a fuité et est utilisée pour des malwares
(arstechnica.com)- Les clés de signature cryptographique des développeurs sont un élément central de la sécurité d’Android
- Un billet publié par l’équipe sécurité Android de Google explique les clés compromises, dont certaines appartiennent à Samsung/LG/Mediatek
- Plus grave encore, il s’agit de "clés de certificat de plateforme", ce qui équivaut presque à un accès root
- Ce sont les clés utilisées pour authentifier l’application système "android"
- Cette application "android" s’exécute avec l’identifiant utilisateur hautement privilégié "android.uid.system" et dispose d’un accès aux données utilisateur ainsi que de privilèges système
- Toute application signée avec ce certificat peut donc s’exécuter avec le même niveau de privilèges vis-à-vis de l’OS Android
- La clé Samsung compromise a été utilisée pour des centaines d’applications présentes sur environ 101 pages, dont Samsung Pay, Bixby et l’application Téléphone
- Samsung n’avait même toujours pas remplacé cette clé à ce jour
- Ce qui est encore plus étrange, c’est que, selon le fondateur d’APKMirror, les malwares signés avec cette clé sur VirusTotal remontent à 2016
- Cela voudrait dire que la situation dure depuis 6 ans… Interrogé, Samsung a répondu ceci
"Chez Samsung, nous accordons une grande importance à la sécurité des appareils Galaxy. Nous avons identifié ce problème dès 2016 et déployé des correctifs de sécurité. À ce jour, aucun incident de sécurité lié à cette vulnérabilité n’a été signalé. Nous recommandons toujours de maintenir les appareils à jour via les mises à jour logicielles."
- Cela voudrait dire que la situation dure depuis 6 ans… Interrogé, Samsung a répondu ceci
- Franchement, cela n’a aucun sens. Pourquoi continuer à utiliser une clé compromise pendant des années en sachant qu’elle a fuité ?
- Il peut certes être difficile de mettre à jour des téléphones déjà vendus, mais Samsung a lancé de très nombreux appareils depuis 2016. Il semble qu’ils auraient déjà dû produire des builds d’OS avec une nouvelle clé depuis des années
- L’équipe sécurité Android indique de son côté que "lorsque cette fuite de clé a été signalée, les partenaires OEM ont mis en œuvre des mesures de réponse. En outre, le Build Test Suite détecte aussi les malwares, et Google Play les détecte également"
- Les OEM devraient remplacer rapidement les clés compromises. On ne sait pas clairement pourquoi Samsung continue encore d’utiliser cette clé
- Grâce à APK Signature Scheme V3 d’Android, les développeurs peuvent changer la clé d’une application via une simple mise à jour
- Google Play impose V3, mais certains OEM utilisent encore V2
7 commentaires
https://news.einfomax.co.kr/news/articleView.html?idxno=4245304
À peine quelques jours après que ça a éclaté... l’affaire de la clé de signature de PAYCO fait aussi beaucoup de bruit.
Mais... pourquoi est-ce si silencieux dans ce cas ? lol..
C’est donc un message qui dit qu’on peut y voir une preuve laissant soupçonner que Samsung gérerait lui-même le malware, non ?
On dirait que ce n’est pas à ce point-là. J’ai plutôt l’impression qu’ils ne réagissent pas vraiment et laissent simplement la situation en l’état.
Le schéma de signature APK v3 peut être utilisé,
Cela fait déjà un an et demi qu’ils annoncent depuis l’an dernier que la fonctionnalité de key rotation arrive bientôt.
Oh, je vois... Merci pour l'information complémentaire !
Je comprends pourquoi ils ont fait ça, et j’arrive aussi plus ou moins à imaginer pourquoi ils ont continué à le faire. Cela dit, le fait qu’ils aient continué reste problématique.
C’est vrai, ça ?