ทีมความปลอดภัยของ Android แจ้งเตือนว่ามีกุญแจเข้ารหัสของผู้ผลิตฮาร์ดแวร์ OEM หลายรายหลุดออกสู่สาธารณะ ทำให้แฮ็กเกอร์สามารถใช้กุญแจเหล่านี้ sign แอพประสงค์ร้ายให้ดูน่าเชื่อถือได้

เว็บไซต์ Ars Technica ลองตรวจสอบรายชื่อกุญแจที่หลุดออกมา พบว่าเป็นของ Samsung, LG, MediaTek รวมถึงผู้ผลิตฮาร์ดแวร์รายย่อยๆ เช่น Revoview, Szroco

กุญแจของผู้ผลิตฮาร์ดแวร์ OEM เหล่านี้ แตกต่างจากกุญแจของนักพัฒนาแอพทั่วไป เพราะแอพที่ sign ด้วยกุญแจของ OEM จะถูกนำไปรวมใน system image ของระบบ มีสิทธิเข้าถึงระบบมากกว่าแอพที่ติดตั้งผ่าน Play Store ซึ่งแปลว่าแฮ็กเกอร์สามารถสร้างแอพประสงค์ที่เข้าถึงสิทธิต่างๆ ระบบได้มากขึ้น

ทีมความปลอดภัยของกูเกิลแนะนำให้ผู้ผลิตฮาร์ดแวร์ OEM เปลี่ยนชุดกุญแจเหล่านี้ (key rotation) และตรวจสอบว่ากุญแจหลุดไปได้อย่างไร

Why is that a problem? Well, it lets malicious apps opt into Android’s shared user ID mechanism and run with the same highly privileged user ID as “android” – android.uid.system. Basically, they have the same authority/level of access as the Android OS process!

— Mishaal Rahman (@MishaalRahman) December 1, 2022

ภาพจาก Pexels

ที่มา – Chromium Issue Tracker, Ars Technica