Samsung, Mediatek, LG: Android-Malware mit OEM-Zertifikaten signiert

Google hat Malware gefunden, die mit den Zertifikaten von Android -Herstellern signiert sind. Das kann für Systemberechtigungen genutzt werden.

2. Dezember 2022 um 14:18 Uhr / Sebastian Grüner

8 Kommentare News folgen (öffnet im neuen Fenster)

Android-Malware nutzt offenbar auch OEM-Zertifikate. (Bild: Tobias Költzsch/Golem.de) — Android-Malware nutzt offenbar auch OEM-Zertifikate. Bild: Tobias Költzsch/Golem.de

Mehrere Android-Plattformzertifikate sind offenbar dazu genutzt worden, Malware-Apps für das freie Mobilbetriebssystem zu signieren. Einen entsprechenden Bug-Report hat das Team von Google öffentlich gemacht(öffnet im neuen Fenster) . Die Zertifikate sind eigentlich für die Android-OEMs selbst gedacht, die damit ihre Kernanwendungen signieren. Das umfasst auch die eigentlichen ROM-Abbilder mit dazugehörigen Apps.

Zur möglichen Gefahr durch die Malware-Apps heißt es: "Ein Plattformzertifikat ist das Anwendungssignaturzertifikat, das zum Signieren der Android-Anwendung auf dem Systemabbild verwendet wird. Die Android-Anwendung wird mit einer hochprivilegierten Benutzer-ID – android.uid.system – ausgeführt und verfügt über Systemberechtigungen, einschließlich Berechtigungen für den Zugriff auf Benutzerdaten. Jede andere Anwendung, die mit demselben Zertifikat signiert ist, kann erklären, dass sie mit derselben Benutzer-ID ausgeführt werden möchte, wodurch sie dieselbe Zugriffsebene auf das Android-Betriebssystem erhält."

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: EXKLUSIV Golem Expert: Microsoft 365 Compliance & Security Check

zum Kurs

E-Learning: digitalize your business - starter course for digital transformation (e-learning in english)

zum Kurs

Viele weitere Details nennen die Beteiligten nicht. Zur Verfügung stehen jedoch SHA256-Hashwerte von Malware-Apps sowie der dafür genutzten Zertifikate. Demnach wurden einige der Anwendungen mit den Plattformzertifikaten von Samsung(öffnet im neuen Fenster) , Mediatek(öffnet im neuen Fenster) oder auch LG(öffnet im neuen Fenster) signiert. Einzelheiten dazu, wie dies geschehen konnte und ob etwa Angreifer die dazugehörigen privaten Schlüssel entwenden konnten, gibt es nicht. Auch über das Ausmaß und die Verbreitung der Malware ist noch nichts öffentlich bekannt.

Eigenen Angaben zufolge hat Google die betroffenen Hersteller dazu aufgefordert, die Zertifikate zu ersetzen und dafür auch neue private und öffentliche Schlüssel zu verwenden. Darüber hinaus empfiehlt Google ein interne Überprüfung, wie es überhaupt zu der signierten Malware kommen konnte. Das Unternehmen empfiehlt seinen OEMs außerdem, möglichst wenige ihrer Apps mit dem Plattformzertifikat zu signieren, um einen regelmäßigen Wechsel zu erleichtern.

Zur Startseite 8 Kommentare

Reklame Hier geht es zum Samsung Galaxy S25 bei Amazon

Relevante Themen