W przypadku systemów operacyjnych istnieją pewne certyfikaty, którymi podpisuje się aplikacje. Te zależnie od platformy albo są stale wymagane, albo tylko w przypadku programów o szczególnych uprawnieniach, których nie nadaje sam użytkownik. I tak aplikacje systemowe Androida są podpisane certyfikatem android, który daje im pełny dostęp do systemu. Problem w tym, że to właśnie ten certyfikat został wykradziony.
Problem z bezpieczeństwem Androida – wykradziono certyfikat Android
Mamy więc certyfikat, który nadaje aplikacjom najwyższe uprawnienia, których nie da się wycofać z perspektywy użytkownika, a który wpadł w ręce hakerów. Tym samym złośliwe oprogramowanie nim podpisane mogłoby robić ze smartfonem dosłownie wszystko, bez zostawiania jakichkolwiek śladów. Jednocześnie byłoby nie do skasowania przez programy antywirusowe, które najprawdopodobniej nawet by je ignorowały.
Do końca nie wiadomo, w jaki sposób certyfikat został skradziony – poza samym Google dostęp do niego mają także producenci smartfonów i wyciek w sprawie mógł pochodzić także od nich. Według niezbyt jasnych informacji teoretyczny związek ze sprawą ma czterech z nich, w tym Samsung i LG. I to ostatnie jest szczególnie dobrą wiadomością.
Zobacz też: Poczta Polska ostrzega przed nowy oszustwem w sieci. Bardzo łatwo dać się nabrać
Otóż to nie jest nowa sprawa, ale dopiero teraz została oficjalnie nagłośniona. Tym samym Google już dawno załatało problemy z certyfikatem oraz wysłało producentom odpowiednie łatki. Tym samym większość (nie wszystkie, o czym w dalszych akapitach!) smartfonów powinna być już bezpieczna. Jaka większość? Biorąc pod uwagę zaangażowanie LG w sprawę, można dość bezpiecznie założyć, że każdy smartfon, który dostał aktualizację po wycofaniu się tej firmy z produkcji smartfonów, jest już bezpieczny. Załóżmy, że od czerwca 2021 roku – chociaż możliwe, że cała rzecz miała miejsce znacznie wcześniej. To tylko graniczna data związana z wycofaniem się LG z rynku, nic więcej.
To jednak miało miejsce dość dawno temu. Czemu więc Google zwlekało aż tak długo? Otóż certyfikaty mają określoną ważność. Firma musiała się upewnić, że te skradzione już ją przekroczyły i po prostu nie mogą podpisywać aplikacji, co czyni je kompletnie bezużytecznymi. Ogłoszenie problemu wcześniej mogłoby wzbudzić zainteresowanie cyberprzestępców, a to jest czymś, czego Google wolało uniknąć.
Zobacz też: UKE i KNF podpisują porozumienie o cyberbezpieczeństwie – co to oznacza?
Czy to oznacza, że jesteśmy bezpieczni? No cóż… nie do końca. Jeśli ktoś ma smartfona, który ma starą wersję zabezpieczeń/systemu, to wciąż jest on podatny na złośliwe oprogramowanie, które powstało wcześniej, przed wygaśnięciem certyfikatu.
Źródło: TechSpot, bugs.chromium.org, Twitter