Beheer

Hoe je Android te beschermen tegen 'Samsung-malware'
Tegengif voor groot malwaregevaar door uitgelekte Samsung-sleutels.
Tegengif voor groot malwaregevaar door uitgelekte Samsung-sleutels.
Cybercriminelen kunnen op Android-toestellen breder en dieper doordringen door een flinke fout van Samsung. Cryptografische sleutels van die smartphonemaker - en nog enkele andere - zijn uitgelekt, waardoor malware zich kan voordoen als legitieme, te vertrouwen apps. Terwijl een definitieve oplossing voor dit beveiligingsgevaar zit in het ongeldig verklaren en intrekken van die leverancierssleutels, kunnen gebruikers en beheerders zelf wel beperkende maatregelen nemen om hun Androids te beschermen.
Securitystappen zijn nu wel nodig, omdat er sprake is van groter dan gebruikelijk gevaar van zogenaamde 'Samsung-malware'; malafide apps die digitaal zijn ondertekend met legitieme sleutels van die fabrikant. Op Android zijn namelijk niet alle apps gelijkwaardig wat betreft privileges en de mate van toegang tot het systeem. De uitgelekte Samsung-sleutels geven daarmee ondertekende software vergaande rechten, vergelijkbaar met die voor het Android-systeem zelf.
Platformkwestie
De basis hiervoor is de toekenning van unieke user-ID's (UIDs), die worden gevalideerd door de cryptografische sleutels. Deze zijn dan van toestelfabrikanten of van app-ontwikkelaars. Daarmee valt dan aan te tonen dat de apps inderdaad afkomstig zijn van een specifieke maker en dus te vertrouwen voor installatie plus permissies.
In het geval van de sleutels van Samsung (en ook LG, Mediatek en anderen) gaat het om zogeheten platformcertificaten (of: platformcertificaatsleutels). Deze kunnen dienen om de authenticiteit van Android zelf te verifiëren. Plus van apps die standaard worden meegeleverd door toestelfabrikanten. Vandaar dus de diepgaande rechten die toe te kennen zijn aan hiermee ondertekende apps. Dat geeft interessante mogelijkheden voor malware, die cybercriminelen in de praktijk al benutten.
Actief misbruik
Het uitlekken van Samsungs sleutels is namelijk ontdekt via een lijst van sleutels die actief worden misbruikt om malware te ondertekenen. Het online-bericht met deze lijst vermeldt alleen de sleutels, maar die vallen via Google's antivirusite VirusTotal te herleiden naar de eigenlijke eigenaren; Samsung, LG, Mediatek en andere, kleinere smartphoneproducenten.
Een andere mogelijkheid voor herleiding is de site APKMirror, meldt Ars Technica. Die downloadsite biedt Android-gebruikers de zogeheten APK-bestanden waarmee ze apps voor Googles mobiele besturingssysteem kunnen sideloaden. Dit is een 'zijdelingse' route voor het verkrijgen en installeren van apps, dus zónder dat apps uit de appstore van Android-maker Google of van een toestelmaker als Samsung betrokken moeten worden. APKMirror heeft hier een lijst van apps die ondertekend zijn met het uitgelekte Samsung-certificaat. En hier voor LG's gecompromitteerde platformsleutel.
Het gelijk van Apple?
Apple staat sideloading pertinent niet toe voor zijn iOS, maar Google doet dat bewust wel voor Android. Het argument van Apple is dat afdwingen van app-installatie via zijn appstore beter is voor de beveiliging. De concurrent van Google, Samsung en andere smartphonemakers heeft nu wel een punt, gezien het gevaar van malafide Android-apps die ondertekend zijn met de uitgelekte platformsleutels. Google heeft namelijk brede detectie voor dit specifieke gevaar geïmplementeerd, waarbij zijn Play Store aan malwaredetectie doet. Daarnaast hebben toestelmakers elk ook eigen maatregelen getroffen.
Eindgebruikers en beheerders kunnen zich dus meer op die officiële aanbieders verlaten, ondanks het feit dat de oorsprong van deze digitale dreiging juist zit in slordige omgang met de securitysleutels door toestelleveranciers. Het verkrijgen van officieel lijkende apps uit externe bronnen vormt momenteel echter een groter gevaar. Al dan niet tijdelijk afzien van sideloading - of dus blokkeren daarvan op toestellen van werknemers - is een aan te raden maatregel.
Wachten op sleutelwisseling?
AG Connect heeft Samsung nog wel vragen gesteld of en wat het bedrijf gaat doen aan de uitgelekte sleutels. Mogelijk is ongeldig verklaren en intrekken niet of niet zomaar te doen. Die definitieve oplossing voor het huidige gevaar kan namelijk oudere toestellen, oudere Android-versies en apps daarvoor frustreren of zelfs saboteren. Dit kan ook verklaren waarom Samsung de gecompromitteerde sleutels nog altijd lijkt te gebruiken. Ars Technica wijst er echter op dat versie 3 van Googles aanpak voor digitaal ondertekenen van APK-bestanden (APK Signature Scheme V3) wisseling van sleutels niet alleen mogelijk maar ook makkelijk maakt.
Opmerkelijk detail is dat sommige gevallen van de 'Samsung-malware' jaren terug al zijn gedetecteerd door VirusTotal, met zeker één geval in 2016. De smartphonemaker verklaart hierover tegen XDA Developers dat het bedrijf de security van zijn Galaxy-apparaten serieus neemt. "We hebben sinds 2016 securitypatches uitgebracht nadat we geïnformeerd waren over deze kwestie." Samsung stelt daarbij ook dat er geen security-incidenten bekend zijn die via deze "potentiële kwetsbaarheid" mogelijk zijn.
Updaten, updaten
Tot slot adviseert de leverancier aan gebruikers om hun toestellen altijd bijgewerkt te hebben met de nieuwste software-updates. Samsungs aanhoudende gebruik van de uitgelekte sleutels, ook voor nieuwere toestellen en de software daarop, ondergraaft deze verklaring echter enigszins. Maar Googles bescherming, ook in Androids ingebouwde Play Protect, kan voor up-to-date Android-versies weer wel het gevaar inperken.
Did... the Samsung leak, for example, happen 6 years ago!??????https://t.co/iB0iSxHYUZ
— Artem Russakovskii 🇺🇦 (@ArtemR) December 1, 2022
Is this an isolated incident of some sort, or a false positive, or there are more cases? I can't figure out how to search @virustotal for all matches for a given signature - it only shows 1. pic.twitter.com/Tf8g5T4ebo
Update:
In reactie op vragen van AG Connect geeft Samsung Nederland de volgende verklaring:
"Samsung neemt het beveiligen van Galaxy-toestellen serieus. We hebben beveiligingspatches uitgegeven vanaf het moment dat wij in 2016 op de hoogte zijn gebracht van dit probleem. Sindsdien zijn er geen beveiligingsincidenten bekend die betrekking hebben op deze mogelijke kwetsbaarheid. Wij raden onze gebruikers altijd aan hun toestellen up-to-date te houden met de nieuwste software-updates."
Beschermen... niet (zomaar) sideloaden dus...