La seguridad de los sistemas Android depende del proceso de firma de las aplicaciones. Este sistema identifica si las actualizaciones realizadas a las apps fueron hechas por el desarrollador original, porque la clave que firma las aplicaciones debe permanecer confidencial.
Se ha revelado que los certificados de las plataformas de Samsung, MediaTek, LG y Revoview han sido expuestos y se están utilizando para validar software malicioso. Esto fue descubierto por la Iniciativa de Vulnerabilidad de Socios de Android (APVI) y sólo se hace a las actualizaciones de apps, y nunca a las actualizaciones Over-the-Air.
Si un hacker puede acceder a las claves de firma de una persona, podría añadir un programa malicioso a la clave y difundirlo como una «actualización» de un programa en un dispositivo móvil.
Las personas aficionadas a la tecnología suelen descargar actualizaciones de fuentes externas, lo que puede abrir la puerta a un programa malicioso a través del sistema operativo Android, porque es posible que las aplicaciones maliciosas accedan al ID de usuario compartido de Android y se unan con el proceso del sistema «androide».
Un certificado de plataforma, también llamado certificado de firma de aplicaciones, se emplea para poner una firma al programa «android» integrado en la imagen del sistema. Este programa «android» es operado por el ID de usuario privilegiado, android.uid.system, y se le conceden privilegios del sistema como derechos de acceso.
Sea cual sea otra aplicación que haya sido firmada del idéntico certificado puede demostrar que se está ejecutando con el mismo ID de usuario, permitiéndole así tener igual nivel de accesibilidad al sistema operativo Android, según lo observado por el reportero de APVI.
Es fundamental tener en cuenta que estos certificados son exclusivos del proveedor, porque este es de un producto fabricado por Samsung será distinto del de un dispositivo LG, aunque se utilice para firmar la misma aplicación «androide».
Łukasz Siewierski, un empleado de Google especializado en ingeniería inversa, reveló la existencia de ciertas muestras de malware anotando sus hashes SHA256 y mostrando los certificados de firma relacionados con ellas.
Aunque el origen de las muestras es incierto, y se desconoce si se pusieron a disposición a través de Google Play Store, APKMirror, o alguna otra fuente, la lista de nombres de paquetes contaminados vinculados a las credenciales de la plataforma se puede encontrar a continuación. Google anunció posteriormente que el malware no formaba parte de Google Play Store.
