上星期,谷歌在Android合作伙伴漏洞倡议(APVI,Android Partner Vulnerability Initiative)上披露了一类需要特别注意的安全事件:部分Android原始设备制造商(OEM)的平台证书发生了泄露,正被滥用于对包含恶意软件的 Android应用程序进行签名,这会导致恶意应用也能够获取对Android设备的系统级访问权限。
在Android开放源代码项目(AOSP)之外,有些漏洞是特定的Android原始设备制造商(OEM)所独有的。APVI旨在帮助解决这些谷歌不维护的设备代码的问题。每当发现存在安全问题时,APVI都会警告OEM并提供解决方案。
APVI上写道:平台证书是用于对系统映像上的“android”应用程序进行签名的应用程序签名证书。“android”应用程序使用高特权用户ID “android.uid.system”运行,并拥有系统权限(包括访问用户数据的权限)。使用相同证书签名的任何其他应用程序都可以声明它希望使用相同的用户ID运行,从而为其提供相同级别的Android操作系统访问权限。
这意味着如果恶意应用也使用了相同的平台证书进行签名,并分配了高特权的“android.uid.system”用户ID,则这些恶意应用也将获得对Android设备的系统级访问权限(例如管理正在进行的呼叫、安装或删除程序包、收集有关设备的信息以及其他高度敏感的操作)。
目前已确定一些被滥用的平台证书属于三星电子、LG电子、Revoview和联发科,另外还有一些尚未确定归属。
谷歌向所有受影响的安卓原始设备制造商通报了此类滥用行为,并建议其采取补救措施以尽量减少对用户的影响。谷歌建议这些厂商最好轮换平台证书,调查泄漏以查明问题的根源,并将使用Android平台证书签名的应用程序数量保持在最低限度,从而在将来发生类似事件的时候能够降低解决问题的成本。
对于用户来说,要想尽量确保自己的设备安全,通常而言保持设备运行的是最新的Android版本是简单且有效的做法。
