کلید امضای رمزنگاری توسعه دهندگان یکی از اصلیترین مکانیزمهای امنیتی اندروید است و هر زمانی که اپلیکیشنی در اندروید آپدیت میشود این کلید امضا نسخه قبل باید با آپدیت جدید مطابقت داشته باشد، اما در جدیدترین خبرها به نظر میرسد که کلیدهای برخی از شرکتهای OEM از جمله سامسونگ لو رفته است. این مکانیزم امنیتی تضمین میکند که بروزرسانی از طرف همان شرکتی است که برنامه اصلی را توسعه داده و در واقع یک بدافزار مخرب خودش را به جای آن برای آپدیت جدید جا نمیزند.
در همین راستا اگر کلید امضا فاش شود هر کس میتواند برنامههای مخرب را توزیع کند و با توجه به استفاده از signature خود سامسونگ، اندروید نیز در تشخیص غیرقانونی بودن این فایلها ناکام میماند. در اندروید فرآیند بروزرسانی برنامهها فقط از طریق گوگل پلی استور انجام نمیشود و کاربران با روشهای دیگر نیز میتوانند APK های اندرویدی را به صورت دستی و از استورهای دیگر نصب کنند.
در حالی که اپهای دانلودی جداگانه فارغ از گوگل پلی در اندروید مشمول سختگیریهای سیستمی بیشتری هستند، اما وقتی که امضای دیجیتال یک توسعه دهنده ناخواسته افشا میشود این میتواند مضر باشد، با این وجود زمانی که امضای دیجیتال شرکتهای OEM اندرویدی مانند سامسونگ فاش میشود این شدیداً میتواند مخرب واقع شود و اتفاقی است که به تازگی برای سامسونگ و گوشیهای این شرکت رخ داده است.
در همین راستا یکی از اعضای تیم امنیتی اندروید گوگل در یک پستی اذعان کرده که با certificate های اصلی و افشا شده اندروید هکرها در حال فعال کردن و ایجاد امضای دیجیتال برای بدافزارهای خود هستند. در این پست اشاره به شرکتهای سامسونگ، ال جی و مدیاتک شده و اینها کمپانیهایی هستند که کلیدهای امضای دیجیتال شان لو رفته است. با افشا شدن امضای دیجیتال این شرکتها هکرها حالا میتوانند بدافزارهای خود را با امضای این کمپانیها ارائه دهند و platform certificate این شرکتها نیز مجوزهای دسترسی عمدهای دارد.
platform certificate یک اپلیکیشن امضای دیجیتال برای برنامههای اندرویدی بر روی سیستم است. اپلیکیشنهای اندرویدی با دسترسی سطح بالای android.uid.system اجرا میشود و این دسترسی شامل در اختیار داشت دیتاهای کاربر نیز میشود. هر برنامه دیگری که با همان گواهی امضا شده باشد، میتواند اعلام کند که میخواهد با همان شناسه کاربری اجرا شود و همین نیز اندروید را برای دادن سطح دسترسی بالا به آن نرمافزار ترغیب میکند.
سامسونگ نیز در این خصوص اذعان کرد که کلید امضای دیجیتال آنها سالها پیش و در 2016 افشا شد و این شرکت اظهار کرد که امنیت دستگاههای گلکسی را جدی میگیرد و از همان زمان نیز پچهای امنیتی جدیدی را ارائه کرده اما به نظر میرسد که سامسونگ احتمالا به دلیل برخی مشکلات لجستیکی کلید امضای دیجیتال را در برخی مدلها به کلی جایگزین نکرده است. گوگل نیز در همین خصوص بیان کرد که شرکتهای OEM به محض مطلع شدن از این گزارشات سریعاً اقدامات مربوطه را انجام دادهاند.
دیدگاهتان را بنویسید