Hoe je Android te beschermen tegen 'Samsung-malware'

Platformkwestie

De basis hiervoor is de toekenning van unieke user-ID's (UIDs), die worden gevalideerd door de cryptografische sleutels. Deze zijn dan van toestelfabrikanten of van app-ontwikkelaars. Daarmee valt dan aan te tonen dat de apps inderdaad afkomstig zijn van een specifieke maker en dus te vertrouwen voor installatie plus permissies.

In het geval van de sleutels van Samsung (en ook LG, Mediatek en anderen) gaat het om zogeheten platformcertificaten (of: platformcertificaatsleutels). Deze kunnen dienen om de authenticiteit van Android zelf te verifiëren. Plus van apps die standaard worden meegeleverd door toestelfabrikanten. Vandaar dus de diepgaande rechten die toe te kennen zijn aan hiermee ondertekende apps. Dat geeft interessante mogelijkheden voor malware, die cybercriminelen in de praktijk al benutten.

Actief misbruik

Het uitlekken van Samsungs sleutels is namelijk ontdekt via een lijst van sleutels die actief worden misbruikt om malware te ondertekenen. Het online-bericht met deze lijst vermeldt alleen de sleutels, maar die vallen via Google's antivirusite VirusTotal te herleiden naar de eigenlijke eigenaren; Samsung, LG, Mediatek en andere, kleinere smartphoneproducenten.

Een andere mogelijkheid voor herleiding is de site APKMirror, meldt Ars Technica. Die downloadsite biedt Android-gebruikers de zogeheten APK-bestanden waarmee ze apps voor Googles mobiele besturingssysteem kunnen sideloaden. Dit is een 'zijdelingse' route voor het verkrijgen en installeren van apps, dus zónder dat apps uit de appstore van Android-maker Google of van een toestelmaker als Samsung betrokken moeten worden. APKMirror heeft hier een lijst van apps die ondertekend zijn met het uitgelekte Samsung-certificaat. En hier voor LG's gecompromitteerde platformsleutel.

Het gelijk van Apple?

Apple staat sideloading pertinent niet toe voor zijn iOS, maar Google doet dat bewust wel voor Android. Het argument van Apple is dat afdwingen van app-installatie via zijn appstore beter is voor de beveiliging. De concurrent van Google, Samsung en andere smartphonemakers heeft nu wel een punt, gezien het gevaar van malafide Android-apps die ondertekend zijn met de uitgelekte platformsleutels. Google heeft namelijk brede detectie voor dit specifieke gevaar geïmplementeerd, waarbij zijn Play Store aan malwaredetectie doet. Daarnaast hebben toestelmakers elk ook eigen maatregelen getroffen.

Eindgebruikers en beheerders kunnen zich dus meer op die officiële aanbieders verlaten, ondanks het feit dat de oorsprong van deze digitale dreiging juist zit in slordige omgang met de securitysleutels door toestelleveranciers. Het verkrijgen van officieel lijkende apps uit externe bronnen vormt momenteel echter een groter gevaar. Al dan niet tijdelijk afzien van sideloading - of dus blokkeren daarvan op toestellen van werknemers - is een aan te raden maatregel.

Wachten op sleutelwisseling?

AG Connect heeft Samsung nog wel vragen gesteld of en wat het bedrijf gaat doen aan de uitgelekte sleutels. Mogelijk is ongeldig verklaren en intrekken niet of niet zomaar te doen. Die definitieve oplossing voor het huidige gevaar kan namelijk oudere toestellen, oudere Android-versies en apps daarvoor frustreren of zelfs saboteren. Dit kan ook verklaren waarom Samsung de gecompromitteerde sleutels nog altijd lijkt te gebruiken. Ars Technica wijst er echter op dat versie 3 van Googles aanpak voor digitaal ondertekenen van APK-bestanden (APK Signature Scheme V3) wisseling van sleutels niet alleen mogelijk maar ook makkelijk maakt.

Opmerkelijk detail is dat sommige gevallen van de 'Samsung-malware' jaren terug al zijn gedetecteerd door VirusTotal, met zeker één geval in 2016. De smartphonemaker verklaart hierover tegen XDA Developers dat het bedrijf de security van zijn Galaxy-apparaten serieus neemt. "We hebben sinds 2016 securitypatches uitgebracht nadat we geïnformeerd waren over deze kwestie." Samsung stelt daarbij ook dat er geen security-incidenten bekend zijn die via deze "potentiële kwetsbaarheid" mogelijk zijn.

Updaten, updaten

Tot slot adviseert de leverancier aan gebruikers om hun toestellen altijd bijgewerkt te hebben met de nieuwste software-updates. Samsungs aanhoudende gebruik van de uitgelekte sleutels, ook voor nieuwere toestellen en de software daarop, ondergraaft deze verklaring echter enigszins. Maar Googles bescherming, ook in Androids ingebouwde Play Protect, kan voor up-to-date Android-versies weer wel het gevaar inperken.

Did... the Samsung leak, for example, happen 6 years ago!??????https://t.co/iB0iSxHYUZ

Is this an isolated incident of some sort, or a false positive, or there are more cases? I can't figure out how to search @virustotal for all matches for a given signature - it only shows 1. pic.twitter.com/Tf8g5T4ebo

— Artem Russakovskii 🇺🇦 (@ArtemR) December 1, 2022

Update:

In reactie op vragen van AG Connect geeft Samsung Nederland de volgende verklaring:

"Samsung neemt het beveiligen van Galaxy-toestellen serieus. We hebben beveiligingspatches uitgegeven vanaf het moment dat wij in 2016 op de hoogte zijn gebracht van dit probleem. Sindsdien zijn er geen beveiligingsincidenten bekend die betrekking hebben op deze mogelijke kwetsbaarheid. Wij raden onze gebruikers altijd aan hun toestellen up-to-date te houden met de nieuwste software-updates."