A mezei felhasználók valójában nem sokat tudhatnak arról, hogy miként is jutnak el hozzájuk az androidos frissítések, egy friss botrány nyomán azonban most nagyobb figyelmet kapott a háttérben zajló folyamat.
Az Android biztonsági csapatának tagja, Łukasz Siewierski a partnerekkel kapcsolatos kockázatokat listázó Android Partner Vulnerability Initiative (AVPI) felületen posztolta, hogy több nagy cég, köztük a MediaTek, az LG és a Samsung úgynevezett fejlesztői kriptográfiai aláíró kulcsa is kiszivárgott, a kiberbűnözői közösség pedig fertőzött programok telepítésére használják őket.
Az említett kulcsok feladata az lenne, hogy a frissítések telepítésekor igazolják az Android védelmi vonalai felé, hogy az adott szoftver valóban partnertől származik.
Aki tehát ismeri ezt a kulcsot, hivatalos programnak álcázhatja a kártevőket, az operációs rendszer pedig boldogan utat enged nekik.
"A platform tanúsítvány az alkalmazás aláírási tanúsítványa, amelyet a rendszerképen lévő "android" alkalmazás aláírására használnak. Az "android" alkalmazás egy magasan privilegizált felhasználói azonosítóval - android.uid.system - fut, és rendszerjogosultságokkal rendelkezik, beleértve a felhasználói adatokhoz való hozzáférés jogát is. Bármely más, ugyanazzal a tanúsítvánnyal aláírt alkalmazás kijelentheti, hogy ugyanazzal a felhasználói azonosítóval akar futni, és ezzel ugyanolyan szintű hozzáférést kap az Android operációs rendszerhez."
- írja az elveszett kulcsokról az APVI-s blogposzt. A szivárgás tehát meglehetősen súlyos, a Samsung azonban nem aggódja túl a dolgot, az adatbázis szerint ugyanis már 2016 óta készülnek malware-ek a rossz kezekbe került hitelesítővel, a koreaiak pedig azóta sem változtatták meg azt. A vállalat az XDA Developershez eljuttatott közleményében meg is erősítette, hogy az aláírási kulcs még évekkel ezelőtt szivárgott ki.
Miután több tech portál is felkapta a hírt, az Android Security Team kommentárt fűzött az eredeti poszthoz, amelyben azt írták, hogy az OEM partnerek megtették a szükséges intézkedéseket a felhasználók védelmében, amit a Google Build Test Suite programja és a Google Play Protect is segít. A csapat hivatalos álláspontja szerint nincs jele annak, hogy a kiszivárgott kulcsokkal készült malware-ek valaha is eljutottak volna a Play Áruházba.
A veszélyt ezért elsősorban az ellenőrizetlen forrásból származó appok jelentik, amelyeket persze számos egyéb biztonsági okból is érdemes messziről kerülni.