多家OEM厂商证书泄露，不要安装来路不明的Android apps

DapFlog

Samsung、LG、xiaomi、mediatek、anydesk的证书被发现用来签署恶意 Android 应用程序。 根据Android 的共享用户 ID 机制，这些恶意程序安装后具有与 Android 操作系统进程相同的权限。
不要安装来路不明的Android程序

https://twitter.com/maldr0id/status/1598068216391405568

https://bugs.chromium.org/p/apvi/issues/detail?id=100



看到新闻了：
https://9to5google.com/2022/12/0 ... ty-leak-samsung-lg/


机翻：
主要的 Android 安全漏洞使三星和其他设备容易受到危险恶意软件应用程序的攻击

一个重大的安全漏洞导致创建了“受信任的”恶意软件应用程序，这些应用程序可以访问三星、LG 和其他公司设备上的整个 Android 操作系统。

正如 Googler Łukasz Siewierski（通过Mishaal Rahman）分享的那样，Google 的 Android 合作伙伴漏洞计划 (APVI)公开披露了一个影响三星、LG、小米等设备的新漏洞。

问题的核心在于，多家 Android OEM 的平台签名密钥已泄露到各自公司之外。此密钥用于确保您设备上运行的 Android 版本是合法的，由制造商创建。同样的密钥也可用于签署单个应用程序。

按照设计，Android 信任任何使用与操作系统本身签名相同的密钥签名的应用程序。拥有这些应用程序签名密钥的恶意攻击者将能够使用 Android 的“共享用户 ID”系统在受影响的设备上为恶意软件提供完整的系统级权限。本质上，攻击者可以获取受影响设备上的所有数据。

值得注意的是，这个 Android 漏洞并不仅仅发生在安装新的或未知的应用程序时。由于这些泄露的平台密钥在某些情况下还用于签署常见应用程序——包括至少一些三星手机上的 Bixby 应用程序——攻击者可以将恶意软件添加到受信任的应用程序中，使用相同的密钥签署恶意版本，Android 就会信任它作为一个“更新”。无论应用程序最初来自 Play 商店、Galaxy 商店还是旁加载，此方法都适用。

谷歌的公开披露没有列出哪些设备或原始设备制造商受到影响，但它确实显示了示例恶意软件文件的哈希值。有用的是，每个文件都已上传到 VirusTotal，它通常还会显示受影响公司的名称。有了这个，我们知道以下公司的密钥被泄露了（尽管一些密钥尚未被识别）：

• 三星
• LG
• 联发科技
• szroco（沃尔玛 Onn 平板电脑的制造商）
• 评论
  

根据谷歌对该问题的简要解释，第一步是每个受影响的公司换出（或“轮换”）其 Android 平台签名密钥，不再使用已泄露的密钥。无论如何，最好定期执行此操作，以最大程度地减少未来潜在泄漏的损害。

除此之外，谷歌还敦促所有 Android 制造商大幅减少平台密钥用于签署其他应用程序的频率。只有需要最高级别权限的应用程序才应该以这种方式签名，以避免潜在的安全问题。

谷歌表示，自 2022 年 5 月报告该问题以来，三星和所有其他受影响的公司已经“采取补救措施，将这些重大安全漏洞对用户的影响降到最低”。据APKMirror 称，目前尚不清楚这到底意味着什么，因为过去几天三星的 Android 应用程序中使用了一些易受攻击的密钥。

目前尚不清楚哪些当前的 Android 设备（如果有的话）仍然容易受到此安全漏洞的攻击。我们已联系谷歌了解更多详情，但无法立即联系到该公司发表评论。

值得注意的是，虽然谷歌的披露称该漏洞是在 2022 年 5 月报告的，但 VirusTotal早在 2016 年就首次扫描了一些恶意软件示例。目前尚不清楚这是否意味着泄漏和相关的漏洞利用在当时已被积极用于某些设备。

谷歌在一份声明中澄清说，人们的设备通过多种方式受到保护，免受此特定漏洞的影响，包括通过 Google Play Protect、设备制造商的“缓解措施”等。除此之外，此漏洞并未进入通过 Google Play 商店分发的应用程序。

在我们报告密钥泄露后，OEM 合作伙伴立即采取了缓解措施。最终用户将受到 OEM 合作伙伴实施的用户缓解措施的保护。谷歌已经在扫描系统映像的 Build Test Suite 中对恶意软件进行了广泛的检测。Google Play Protect 还会检测恶意软件。没有迹象表明此恶意软件存在于或曾经存在于 Google Play 商店中。一如既往，我们建议用户确保他们运行的是最新版本的 Android。

——谷歌发言人

---

虽然正在确认最新的 Android 安全漏洞的详细信息，但您可以采取一些简单的步骤来确保您的设备保持安全。首先，请确保您使用的是适用于您设备的最新固件。如果您的设备不再接收一致的 Android 安全更新，我们建议您尽快升级到更新的设备。

除此之外，避免将应用程序旁加载到手机上，即使是在更新手机上已有的应用程序时也是如此。如果需要旁加载应用程序，请确保您完全信任正在安装的文件。

Dylan Roussel对这篇文章做出了贡献。

ryanz

这些证书说什么为了安全，最后漏得跟筛子一样，莫名其妙就想起了firefox扩展强制上市场签名

sunbeach

那我能给太极签个小米的证书免root安装吗，很急

DapFlog

macos 发表于 2022-12-2 10:51
anydesk是远程那个吗，还可信吗

建议在各大应用商店下载。

—— 来自 Xiaomi Mi 10, Android 13上的 S1Next-鹅版 v2.5.2-play

Flyfish233

sunbeach 发表于 2022-12-2 10:52
那我能给太极签个小米的证书免root安装吗，很急

直接想改什么改什么，还能给路上捡到的小米手机刷机

shinzero

可以免解锁bootloader就root了？

Flyfish233

shinzero 发表于 2022-12-2 13:48
可以免解锁bootloader就root了？

刷机包签名应该是直接用的APK的，这下直接OTA个修改版的Boot

痴货

终于还是迎来这天了，用来签名的根证书一旦被窃取就能肆意认证恶意程序

Nanachi

这么说可以免root让软件跑在系统应用权限了？

mingminlun

在哪可以获取根证书？

—— 来自 Xiaomi 2206123SC, Android 12上的 S1Next-鹅版 v2.5.4

南极洲

这TM都能泄漏出来, 服了这些厂商了.

当年我们公司的证书使用只有几个有usb token的人有权限.
证书始终放在远程服务器不能直接接触, 插上token输入密码后上传内容添加证书签名后再下载回来.
系统image签名更是只有工厂物理断网的地方能做.

chachi

南极洲 发表于 2022-12-2 14:51
这TM都能泄漏出来, 服了这些厂商了.

当年我们公司的证书使用只有几个有usb token的人有权限.

居家办公

Midnight.Coup

所以厂商有什么补救方法，用新签名 OTA 一个版本，啥都不更新只更新镜像里的所有签名？

NOTES
All affected parties were informed of the findings and have taken remediation measures to minimize the user impact.

这 Issues 没提到那几个厂商，是删除的 3 条评论吗

DapFlog

Midnight.Coup 发表于 2022-12-2 16:52
所以厂商有什么补救方法，用新签名 OTA 一个版本，啥都不更新只更新镜像里的所有签名？

这 Issues 没提到 ...

https://www.apkmirror.com/?post_ ... archtype=apk&s=

可以在appmirror里面搜索这几个hash

Midnight.Coup

DapFlog 发表于 2022-12-2 17:15
https://www.apkmirror.com/?post_type=app_release&searchtype=apk&s=

可以在appmirror里面搜索这几个h ...

Apkmirror 还能这么用 只当下载站可惜了

dassault_system

证书这东西就是防君子不防小人

— from vivo V2241A, Android 13 of S1 Next Goose v2.1.2

psvsd

这时候是不是就体现出厨子服务器验证证书的好了

赤色彗星SEXY

whql这么随便啊

ls2021

Midnight.Coup 发表于 2022-12-2 16:52
所以厂商有什么补救方法，用新签名 OTA 一个版本，啥都不更新只更新镜像里的所有签名？

这 Issues 没提到 ...

bootrom和OTP里面的那些证书没办法改了
也许很多机器，都有第三方ROM可以刷了。就像PSP的证书泄漏一样

ls2021

psvsd 发表于 2022-12-2 18:30
这时候是不是就体现出厨子服务器验证证书的好了

有什么用？要是bootrom的证书泄露了，自己签一个bootloader，想跑什么都可以跑

ls2021

JudgmentEye 发表于 2022-12-2 17:32
吊销呗，证书有吊销机制，但得把用户的系统整个更新，不更新的机器就没招了

----STAGE1 Mobile ...

安卓不清楚，Windows下是可以热更的
安卓的证书好像还真的是固化在/system分区里面，不OTA的话是没办法操作的
安卓手机启动应用的时候，似乎不会与吊销服务器通信。苹果似乎是会的，但是失败了也不会怎么样
浏览器的证书吊销机制，其实也没那么大的用处。连接超时了就直接放行了。有段时间Let's Encrypt的吊销服务器被屏蔽了，除了许多小网站打开速度变得超级慢，并没有什么区别
Windows倒是会通过自己的杀软之类的东西，来把被吊销的驱动给拦截下来，甚至当病毒处理。不过微软的效率非常低，而WHQL的证书又泄露得非常彻底，给驱动签名的速度不知道比微软通过更新来拦截驱动的速度快了多少倍

南极洲

ls2021 发表于 2022-12-2 20:38
有什么用？要是bootrom的证书泄露了，自己签一个bootloader，想跑什么都可以跑 ...

bootloader的证书属于高通/MTK和OEM互签的证书链.
这玩意应该不会居家办公也能远程处理然后漏出来吧.

Flyfish233

ls2021 发表于 2022-12-2 20:42
安卓不清楚，Windows下是可以热更的
安卓的证书好像还真的是固化在/system分区里面，不OTA的话是没办法操 ...

热更新没理解错吧。我记得有个Windows10安全补丁就是修复证书问题的。

回忆and无语

又可以root了

eva02eva02

用证书机制本来就是为安全公司服务的

Realplayer

全员草台

Andrue

往好处想，一大堆设备可以一键root了，甚至不用解锁，赢中赢

ls2021

Andrue 发表于 2022-12-3 12:19
往好处想，一大堆设备可以一键root了，甚至不用解锁，赢中赢

要用另一套证书签名bootloader吧。那个要是泄漏出来了才是利好，因为启动完成了之后就和接下来的东西没关系了，对日常使用完全没有影响，但是可以自己签名bl，想启动什么系统就启动什么系统
自己签名bootloader可不同于解BL锁，后者只是可以让你启动其他的Linux系统，可没有给你完整的权限。比如虚拟化，单纯地解BL锁就无法打开，但是自签bl就可以打开

ls2021

JudgmentEye 发表于 2022-12-3 08:58
还真是只能ota或整个换新rom，证书在/system/etc/security/cacerts下，不root没法写
...

如果只是root了，也没法写，因为/system是只读的
你需要通过在启动系统的阶段加载bootkit，来修改挂载的配置，从而使得/system可写或者看起来可写

darkangel0224

之前用SIM卡的PUK码能绕过锁屏，现在密钥都丢了。草台论诚不欺我。B乎上还没人来吹这事儿 https://www.zhihu.com/question/570262627 https://m.ithome.com/html/658513.htm

Tring

牛批了，病毒自带SUDO还行。
那么有这些厂家机器用的安全版的SUDO了么？

Flyfish233

ls2021 发表于 2022-12-3 14:26
要用另一套证书签名bootloader吧。那个要是泄漏出来了才是利好，因为启动完成了之后就和接下来的东西没关 ...

不用的。根本不用进入Bootloader就能全部换掉哦