Kunci penandatanganan aplikasi Android milik Samsung bocor dan digunakan untuk malware

 (arstechnica.com)
11 poin oleh xguru 2022-12-05 | 7 komentar | Bagikan ke WhatsApp
  • Kunci tanda tangan kriptografis milik pengembang adalah elemen inti keamanan Android
  • Dalam tulisan yang diunggah tim keamanan Android Google yang menjelaskan kunci-kunci yang bocor, sebagian di antaranya adalah kunci milik Samsung/LG/Mediatek
  • Bahkan kunci-kunci ini adalah "platform certificate key", sehingga tingkat aksesnya nyaris setara root
    • Ini adalah kunci yang digunakan untuk mengautentikasi aplikasi "android" pada sistem
    • Aplikasi "android" ini berjalan dengan ID pengguna berhak istimewa tinggi, yaitu "android.uid.system", sehingga memiliki hak akses ke data pengguna dan izin sistem
    • Semua aplikasi yang ditandatangani dengan sertifikat ini dapat berjalan dengan tingkat hak yang sama terhadap Android OS
  • Kunci Samsung yang bocor digunakan pada ratusan aplikasi di sekitar 101 halaman, termasuk Samsung Pay, Bixby, aplikasi telepon, dan lain-lain
    • Bahkan hingga hari ini Samsung masih belum mengganti kunci tersebut
  • Yang lebih aneh lagi, menurut pendiri APKMirror, malware yang ditandatangani dengan kunci tersebut di VirusTotal berasal dari tahun 2016
    • Artinya ini sudah terjadi sejak 6 tahun lalu... Saat ditanya ke Samsung, mereka memberikan pernyataan berikut

      "Samsung menganggap keamanan perangkat Galaxy sangat penting. Sejak 2016 kami telah menyadari masalah ini dan menerapkan patch keamanan, dan hingga saat ini tidak ada insiden keamanan terkait kerentanan tersebut yang diketahui. Kami selalu menyarankan agar perangkat tetap diperbarui ke kondisi terbaru melalui pembaruan perangkat lunak."

  • Sejujurnya ini tidak masuk akal. Mengapa mereka tahu soal ini selama bertahun-tahun tetapi masih menggunakan kunci yang bocor?
  • Mungkin ada kesulitan dalam memperbarui ponsel yang sudah terjual, tetapi sejak 2016 Samsung telah membuat sangat banyak perangkat baru. Rasanya mereka seharusnya sudah membangun OS dengan kunci baru sejak beberapa tahun lalu..
  • Tim keamanan Android mengatakan, "Setelah laporan kebocoran kunci ini, para mitra OEM telah menerapkan tindakan respons. Selain itu, Build Test Suite juga mendeteksi malware, dan Google Play juga mendeteksi malware"
  • OEM harus segera mengganti kunci yang telah dikompromikan. Tidak jelas mengapa Samsung masih terus menggunakan kunci tersebut
  • Dengan menggunakan APK Signature Scheme V3 di Android, pengembang dapat mengganti kunci aplikasi hanya melalui pembaruan
    • Google Play mewajibkan V3, tetapi beberapa OEM masih menggunakan V2

Bacaan terkait

7 komentar

 
ruinnel 2022-12-07

https://news.einfomax.co.kr/news/articleView.html?idxno=4245304

Baru beberapa hari setelah ini muncul... sekarang kasus kunci penandatanganan PAYCO ramai sekali dibicarakan.
Tapi ... kenapa yang ini malah sepi ya? wkwk..
 
geekgram 2022-12-06

Maksudnya, ini tulisan yang mempertanyakan apakah ini bisa dianggap sebagai bukti yang menimbulkan kecurigaan bahwa Samsung mengelola malware, bukan?
 
xguru 2022-12-06

Sepertinya tidak sampai segitunya. Rasanya lebih seperti mereka membiarkannya begitu saja tanpa melakukan respons besar.
 
ganadist 2022-12-05

APK signature scheme v3 memang bisa digunakan,

  1. saat ini aplikasi Android diunggah dalam format app bundle lalu ditandatangani di Google Play dengan kunci penandatanganan yang diberikan ke Google
  2. pada APK scheme v3, fitur untuk merotasi kunci penandatanganan bersifat opsional
  3. Google Play masih belum mendukung key rotation.

Sudah satu setengah tahun berlalu sejak tahun lalu mereka bilang fitur key rotation akan segera hadir.
 
xguru 2022-12-06

Wah, begitu ya.. Terima kasih atas info tambahannya!
 
laeyoung 2022-12-05

Saya bisa memahami mengapa mereka melakukannya, dan saya juga agak bisa menebak kenapa mereka terus melakukannya. Meski begitu, tetap saja kalau terus begini ya begini juga.
 
love7peace 2022-12-05

Ini serius?