삼성, LG, 샤오미, 미디어텍, 애니데스크의 플랫폼 인증서가 멀웨어 서명에 사용됨

제목이 곧 내용

https://bugs.chromium.org/p/apvi/issues/detail?id=100

삼성, LG, 샤오미, 미디어텍, 애니데스크의 인증서가 멀웨어 서명에 사용된 것으로 보인다고 함

플랫폼 인증서는 시스템 이미지에서 "안드로이드" 애플리케이션에 서명하는 데 사용되는 애플리케이션 서명 인증서입니다. "안드로이드" 애플리케이션은 권한이 높은 사용자 ID(android.uid.system)로 실행되며 사용자 데이터 액세스 권한을 포함하여 시스템 권한을 보유합니다. 동일한 인증서로 서명된 다른 모든 애플리케이션은 동일한 사용자 ID로 실행하고 싶다고 선언하여 Android 운영 체제에 대해 동일한 수준의 액세스 권한을 부여할 수 있습니다.

아래 목록은 플랫폼 서명 인증서의 SHA256 해시와 플랫폼 인증서를 사용하여 올바르게 서명된 맬웨어의 SHA256 해시입니다. 경우에 따라 맬웨어 샘플이 여러 개 발견된 경우 하나의 대표 샘플만 나열됩니다.

인증서 SHA256: 2464ddfefa071f268ea7667123df05ead2293272ff2a64d9cee021c38b46c6af

맬웨어 샘플 SHA256: e4e28de8ad3f826fe50a456217d11e9e6a80563b35871ac37845357628b95f6a

인증서 SHA256: 2bfa22964760a25d99ab9a14910e44fe2063b51d5b4ac2e4282573ce94996aa3

맬웨어 샘플 SHA256: 5c173df9e86e959c2eadcc3ef9897c8e1438b7a154c7c692d0fe054837530458

인증서 SHA256: 34df0e7a9f1cf1892e45c056b4973cd81ccf148a4050d11aea4ac5a65f900a42

맬웨어 샘플 SHA256: b1f191b1ee463679c7c2fa7db5a224b6759c5474b73a59be3e133a6825b2a284

인증서 SHA256: 369c38b18401ea16785f11720e37d7a2bc5a4d209e76955c0858ea469ad62fdf

맬웨어 샘플 SHA256: 19c84a2386abde0c0dae8661b394e53bf246f6f0f9a12d84cfc7864e4a809697

인증서 SHA256: 4274243d7a954ac6482866f0cc67ca1843ca94d68a0ee53f837d6740a8134421

맬웨어 샘플 SHA256: 0251bececeffbf4bf90eaaad27c147bb023388817d9fbec1054fac1324c6f8bf

인증서 SHA256: 5304915c4bb7baca28776231993996fde1baffcbbe6500fb0fc7f2d3a2888cb7

맬웨어 샘플 SHA256: c612917d68803efbd2f0e960ade1662be9751096afe0fd81cee283c5a35e7618

인증서 SHA256: 9200c550f2374706eff37e3a8674bc03aeba8b25c052de638972ab94365af0a2

맬웨어 샘플 SHA256: 6792324c1095458d6b78e92d5ae003a317fe3991d187447020d680e99d9b6129

인증서 SHA256: 9fc510e167d8d312e758273285414e77edac9fed944741f5682be92501f095d4

맬웨어 샘플 SHA256: 091733658c7a32f4673415b11733ae729b87e2a2540c87d08ba9adf7bc62d7ed

인증서 SHA256: a7a0e10a61a5af93624376df60e9def9436358f50aa6174e5423633b856e2be1

맬웨어 샘플 SHA256: 5aaefc5b4fb1e1973832f44ba2d82a70106d3e8999680df6deed3570cd30fb97

인증서 SHA256: b01dcea669eefdd991fc6a24678a8b6e6a6d0ad8986950328c69d0eea1dec0d5

맬웨어 샘플 SHA256: 32b9a33ad3d5a063cd4f08e0739a6ce1e11130532fd0b7e13a3a37edaf9893eb

타격

플랫폼 인증서로 서명된 애플리케이션은 "안드로이드" 애플리케이션과 uid를 공유하고 싶다고 선언하여 사용자 입력 없이 동일한 권한 집합을 부여할 수 있습니다.

권장 조치

영향을 받는 모든 당사자는 플랫폼 인증서를 새로운 공개 및 개인 키 세트로 교체하여 교체해야 합니다. 또한 문제의 근본 원인을 찾기 위해 내부 조사를 수행하고 향후 사고가 발생하지 않도록 조치를 취해야 합니다.

또한 향후 유사한 사고가 발생할 경우 플랫폼 키 교체 비용을 크게 낮출 수 있으므로 플랫폼 인증서로 서명된 애플리케이션 수를 최소화하는 것이 좋습니다.