• 發布單位:TWCERT/CC
• 更新日期:2022-12-07
• 點閱次數:6176

Google 資安研究團隊發現，有多個由 Android OEM 設備廠商使用，用來進行 Android 軟體數位簽章的憑證平台，遭到駭侵者利用於簽署內含惡意程式碼的 Android App。

OEM Android 設備廠商使用平台憑證來簽署位於裝置核心 ROM 映像檔中的 Android 作業系統程式碼與相關 App，並給予這些體較高的執行權限，例如撥打、轉接或掛斷電話、安裝或移除程式套件、收集裝置資訊等較敏感的操作。

Google Android 資安團隊的一位資安專家指出，一旦有任何內含惡意軟體的程式碼使用該平台憑證來進行簽署，即可取得相同的高執行權限；目前觀察到有不少惡意軟體程式套件都使用了來自 Samsung、LG、MediaTek 三家 Android OEM 廠商憑證平台來簽署，因此內含來自這些平台的 SHA 256 雜湊和數位簽章。

濫用這些憑證簽署平台的惡意軟體，包括背景廣告木馬、資訊竊取工具、進階惡意軟體酬載布署工具等。

目前無法得知這些平台的憑證簽署平台，為何會外洩而讓駭侵者得以濫用，目前仍不得而知；雖然 Google 已經通知這些簽署平台遭到濫用的廠商，要求廠商進行應對，並且調查遭濫用的原因，但據資安專業媒體 BleepingComputer 報導指出，Samsung 的軟體憑證簽署平台，仍可繼續用於核發憑證。

Google 表示將在 Android 系統與 Google Play Store 中加強對這類濫用簽署機制的惡意軟體，用戶也應使用最新版本的 Android 系統，以獲得相關防護能力。