Segurança 02 Dez
Hackers obtiveram os certificados de validação de diversas marcas de hardware, o que poderia trazer sérios problemas de segurança cibernéticos.
O especialista em segurança do Google, Lukasz Siewierski, e sua equipe fizeram a descoberta. Esses validadores de segurança são utilizados para assinar os aplicativos no Android das fabricantes de celulares e componentes para provar sua autenticidade, diferenciando-os de malwares.
Os certificados da LG, MediaTek, Samsung e Revoview foram utilizados de forma irregular por hackers. Porém, o número total dos validadores de segurança é bem maior e não foi identificado quais outras empresas tiveram o dispositivo de segurança comprometido.
Outro elemento que levanta dúvida é como os hackers obtiveram os certificados de segurança. A aposta é que foram roubados por vazamentos, invasões nos sistemas internos das empresas ou com a colaboração de funcionários desonestos.
New APVI entry: platform certificates used to sign malware
— Łukasz (@maldr0id@infosec.exchange) (@maldr0id) November 30, 2022
Found by yours truly :)https://t.co/qiFMJW111A
Segundo as informações de Lukasz Siewierski, os seguintes pacotes foram identificados em aplicativos maliciosos utilizando os certificados ilegalmente:
- com.russian.signato.renewis
- com.sledsdffsjkh.Search
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
- com.vantage.ectronic.cornmuni
O relatório da iniciativa de Parceiros contra Vulnerabilidades no Android (AVPI, no original) revela que os certificados podem ser utilizados nos malwares para disfarçá-los de aplicativos oficiais e permitir que eles obtenham acesso aos dados da vítima, coletando informações, interceptando e realizando ligações, além de instalar e desinstalar aplicativos remotamente.
O mais preocupante é que o hacker conseguiria ter o mesmo nível de controle do dono do dispositivo, o que poderia levar a ataques específicos e danosos.
Felizmente, a equipe liderada por Lukasz diz que não detectou a presença de malwares utilizando esses certificados na Play Store, diminuindo a ação dos criminosos. O relatório foi apenas publicado agora, após as empresas terem sido notificadas sobre o vazamento e pudessem renovar os validadores de segurança.
Nas recomendações, o Google incentiva que as companhias investiguem como os certificados foram vazados e diminuam o número de aplicativos assinados por eles para diminuir esse tipo de incidente.
Caso o usuário tenha baixado algum dos aplicativos que utilizam os certificados ilegalmente, o Google garante que não sofrerão novos ataques, já que os validadores não irão mais funcionar. A companhia também recomenda baixar softwares apenas de fontes oficiais, o que evitaria esse tipo de incidente.
Comentários