Android-malware komt beter binnen dankzij Samsung

Deze flinke flater is in wezen geopenbaard door het Android Security Team van Google, dat het gratis smartphonebesturingssysteem oorspronkelijk heeft (overgenomen en door)ontwikkeld. Teamlid Łukasz Siewierski heeft een online bericht geplaatst waarin hij uitgelekte sleutels op een rijtje zet die actief worden gebruikt om malware te ondertekenen, meldt Ars Technica. Het gaat hierbij om zogeheten platform certificate keys.

Diepgaande rechten

Dat type sleutel dient om apps te voorzien van een digitale handtekening, waarmee de herkomst en dus betrouwbaarheid vallen te verifiëren. Een platformcertificaat kan daarbij nog wat verder gaan dan gewone cryptosleutels voor ondertekening van software. Het bericht van Siewierski op de issue tracker van het Android Partner Vulnerability Initiative (AVPI) legt uit dat er hier sprake is van een user-id (UID) met hoge privileges op het Android-besturingssysteem.

Het gaat namelijk om hetzelfde id (android.uid.system) als het eigenlijke Android-systeem. Dit dient voor het beveiligingsmechanisme van het besturingssysteem om apps elk in een eigen geïsoleerde omgeving (sandbox) te houden. Doordat een malafide app met de uitgelekte Samsung-sleutel hetzelfde UID als het Android-besturingssysteem krijgt, kan hij draaien met systeempermissies. Dit omvat ook rechten voor toegang tot gebruikersdata en tot andere apps.

Meer sleutels gelekt

Overigens is Samsung niet de enige partij waarvan beveiligingssleutels zijn uitgelekt. De lijst van Googles securityteamlid voor Android belicht ook toestelmakers LG en Mediatek plus kleinere fabrikanten als Revoview en Szroco. Laatstgenoemde is de OEM (original equipment manufacturer) van de goedkope Android-tablets die het grote Amerikaanse winkelconcern Walmart voert onder de naam Onn.