Samsung’un Android uygulama imzalama anahtarının sızdığı ortaya çıktı. Google Android Güvenlik ekibinden Lukasz Siewierski Android Partner Vulnerability Initiative (AVPI) sorun izleyicisinde , kötü amaçlı yazılımları imzalamak için aktif olarak kullanılan sızdırılmış platform sertifika anahtarlarını ayrıntılarıyla açıklayan bir gönderisi var. Gönderi yalnızca anahtarların bir listesidir, ancak her birini APKMirror veya Google’ın VirusTotal sitesi aracılığıyla çalıştırmak, güvenliği ihlal edilmiş bazı anahtarların adlarını ortaya koyuyor : Samsung, LG ve Mediatek, sızan anahtarlar listesinde bazılarının yanı sıra en önemli oyunculardır.
Bir geliştiricinin kriptografik imzalama anahtarı, Android güvenliğinin en önemli temel taşlarından biridir. Android bir uygulamayı her güncellediğinde, telefonunuzdaki eski uygulamanın imzalama anahtarının yüklediğiniz güncellemenin anahtarıyla eşleşmesi gerekir. Eşleşen anahtarlar, güncellemenin aslında uygulamanızı orijinal olarak yapan şirketten gelmesini ve kötü niyetli bir kaçırma planı olmamasını sağlar. Bir geliştiricinin imzalama anahtarı sızdırılırsa, herkes kötü amaçlı uygulama güncellemeleri dağıtabilir ve Android yasal olduklarını düşünerek bunları yükler.
Android’de, uygulama güncelleme işlemi yalnızca bir uygulama mağazasından indirilen uygulamalar için değildir; ayrıca Google, cihaz üreticiniz ve diğer paket uygulamalar tarafından yapılan paket halindeki sistem uygulamalarını da güncelleyebilirsiniz. İndirilen uygulamalar katı izinlere ve kontrollere sahip olsa da, paket halinde gelen Android sistem uygulamaları çok daha güçlü ve sızma izinlerine erişebilir ve olağan Play Store sınırlamalarına tabi değildir. Bir üçüncü taraf geliştirici imzalama anahtarını kaybederse, bu kötü olur. Bir Android OEM sistem uygulaması imzalama anahtarını kaybederse, bu gerçekten çok kötü olur.
Dolayısıyla, bu şirketlerin imza anahtarları bir şekilde yabancılara sızdırıldı ve artık bu şirketlerden geldiğini iddia eden uygulamaların gerçekten onlardan olduğuna güvenemezsiniz. Daha da kötüsü, kaybettikleri “platform sertifika anahtarlarının” bazı ciddi izinleri vardır.
AVPI gönderisini alıntılamak için:
“Platform sertifikası, sistem görüntüsündeki “android” uygulamasını imzalamak için kullanılan uygulama imzalama sertifikasıdır. “Android” uygulaması, oldukça ayrıcalıklı bir kullanıcı kimliği olan android.uid.system ile çalışır ve kullanıcı verilerine erişim izinleri de dahil olmak üzere sistem izinlerini elinde tutar. Aynı sertifika ile imzalanan diğer herhangi bir uygulama, Android işletim sistemine aynı düzeyde erişim vererek, aynı kullanıcı kimliğiyle çalışmak istediğini beyan edebilir.”
Samsung, yalnızca imzalama anahtarı sızıntısı olan en büyük Android OEM değil, aynı zamanda sızdırılmış bir anahtarın en büyük kullanıcısı durumunda. Daha önceki APKMirror bağlantısı, ne kadar kötü olduğunu gösteriyor. Samsung’un güvenliği ihlal edilmiş anahtarı her şey için kullanılır: Samsung Pay, Bixby, Samsung Hesabı, telefon uygulaması ve bu anahtar için 101 sayfalık sonuç sayfasında bulabileceğiniz milyonlarca başka şey. Bu uygulamalardan herhangi biri için kötü amaçlı bir güncelleme hazırlamak mümkün olabilir ve Android, bunu gerçek uygulamanın üzerine yüklemekten mutluluk duyacaktır. Güncellemelerden bazıları bugünden, dolayısıyla Samsung’un anahtarı hala değiştirmediğini gösteriyor.
Ama APKMirror kurucusu Artem Russakovskii’nin işaret ettiği gibi, VirusTotal’da resmi olarak imzalanmış bazı kötü amaçlı yazılım örnekleri 2016’dan geliyor. Peki bu sorun altı yıldır mı devam ediyor? Samsung, XDA Developers’tan Adam Conway’e şu açıklamayı yaptı :
“Samsung, Galaxy cihazlarının güvenliğini ciddiye alır. Sorundan haberdar olmamızın ardından 2016’dan beri güvenlik yamaları yayınladık ve bu potansiyel güvenlik açığıyla ilgili bilinen herhangi bir güvenlik olayı olmadı. Kullanıcıların her zaman cihazlarını en son yazılım güncellemeleriyle güncel tutmalarını öneririz.”
Açıkçası, bu ifade ne demek belli değil. Samsung bunu yıllardır biliyorsa, neden hala güvenliği ihlal edilmiş bir anahtar kullanıyor? Halihazırda sevk edilmiş bir telefonun güncellenmesinde, Samsung’un uğraşmak istemeyebileceği bazı lojistik sorunlar olabilir, ancak Samsung, 2016 ile şimdi arasında birçok yeni cihaz üretti. Yeni bir telefonda yeni anahtarlarla yeni bir işletim sistemi derlemesi yapmak, yıllar önce yapması gereken bir şey gibi görünüyor.
AVPI gönderisinin yorumlarında Android Güvenlik Ekibi’nden de bir açıklama var:
“OEM iş ortakları, temel uzlaşmayı bildirir bildirmez hafifletme önlemlerini derhal uygulamaya koydu. Son kullanıcılar, OEM iş ortakları tarafından uygulanan kullanıcı hafifletmeleriyle korunacaktır. Google, sistem görüntülerini tarayan Build Test Suite’te kötü amaçlı yazılım için kapsamlı tespitler gerçekleştirdi. Google Play Protect ayrıca kötü amaçlı yazılımı da algılar. Bu kötü amaçlı yazılımın Google Play Store’da bulunduğuna veya bulunduğuna dair hiçbir gösterge yok. Her zaman olduğu gibi, kullanıcılara Android’in en son sürümünü çalıştırdıklarından emin olmalarını tavsiye ediyoruz.”
Bu açıklama, kullanıcıların kendilerini korumak için neler yapabilecekleri hakkında çok fazla ayrıntı vermiyor, ancak Play Store’u gündeme getirmek iyi bir nokta. Bir Samsung/LG/Mediatek uygulamasının aslında o şirkete ait olduğunu hiçbir şey garanti edemediğinden ve güncellemeleri yandan yüklemek için ana güvenlik mekanizması artık çalışmadığından, İnternet’ten rastgele bir uygulama güncellemesini yandan yüklemek şu anda özellikle tehlikelidir. Play Store en azından bir miktar virüs taraması yapıyor ve bir güncelleme bildirimini tetikleyecek mevcut paket adlarının tümü bir OEM’in Google hesabı altında talep ediliyor. Google’ın “Play Protect” sistemi, tüm Android telefonlarda bulunur ve yandan yüklemiş olsanız bile, tanımlanmış kötü amaçlı uygulamaları herhangi bir kullanıcı girişi olmadan uzaktan kaldırma yeteneğine sahiptir.
OEM’lerin gerçekten yapması gereken, uygulamalarının güvenliğini sağlamak için güvenliği ihlal edilmiş anahtarları kullanmayı bırakmaktır. Samsung’un anahtarı neden kullanmaya devam ettiği net değil. Android’in APK Signature Scheme V3’ü , geliştiricilerin yalnızca bir güncellemeyle uygulama anahtarlarını değiştirmesine olanak tanır; bir uygulamanın kimliğini yeni ve eski anahtarla doğrularsınız ve güncellemeler için yalnızca yeni anahtarın desteklendiğini belirtirsiniz. Bu, Play Store uygulamaları için bir gerekliliktir, ancak OEM’lerin sistem uygulamaları Play Store kurallarının hiçbirine tabi değildir, bu nedenle bazı OEM’ler hala eski v2 imza şemasını kullanıyor.
Neyse ki, sızan bu anahtarlar yalnızca uygulamalar içindir ve işletim sistemi güncellemelerini imzalamak için kullanılan anahtarlar değildir. Bu nedenle, v3 imza şeması kullanımda olmasa bile, teorik olarak etkilenen şirketler, yeni anahtarlara sahip yeni sistem uygulamalarını içeren hala güvenli bir OTA güncellemesi gönderebilir ve bu yeni anahtarlarla uyumlu, karşılık gelen yeni Play Store güncellemeleri yapabilirler. Tüketiciler artık bunun nasıl olduğu ve nasıl ele alındığı konusunda karanlıkta kalıyor.