최근 구글은 멀웨어 앱 서명에 사용되고 있는 플랫폼 인증서 서명 목록을 공개하였습니다

아래는 그 인증서 서명의 해시 키 입니다.

인증서 SHA256: 2464ddfefa071f268ea7667123df05ead2293272ff2a64d9cee021c38b46c6af
맬웨어 샘플 SHA256: e4e28de8ad3f826fe50a456217d11e9e6a80563b35871ac37845357628b95f6a

인증서 SHA256: 2bfa22964760a25d99ab9a14910e44fe2063b51d5b4ac2e4282573ce94996aa3
맬웨어 샘플 SHA256: 5c173df9e86e959c2eadcc3ef9897c8e1438b7a154c7c692d0fe054837530458

인증서 SHA256: 34df0e7a9f1cf1892e45c056b4973cd81ccf148a4050d11aea4ac5a65f900a42
맬웨어 샘플 SHA256: b1f191b1ee463679c7c2fa7db5a224b6759c5474b73a59be3e133a6825b2a284

인증서 SHA256: 369c38b18401ea16785f11720e37d7a2bc5a4d209e76955c0858ea469ad62fdf
맬웨어 샘플 SHA256: 19c84a2386abde0c0dae8661b394e53bf246f6f0f9a12d84cfc7864e4a809697

인증서 SHA256: 4274243d7a954ac6482866f0cc67ca1843ca94d68a0ee53f837d6740a8134421
맬웨어 샘플 SHA256: 0251bececeffbf4bf90eaaad27c147bb023388817d9fbec1054fac1324c6f8bf

인증서 SHA256: 5304915c4bb7baca28776231993996fde1baffcbbe6500fb0fc7f2d3a2888cb7
맬웨어 샘플 SHA256: c612917d68803efbd2f0e960ade1662be9751096afe0fd81cee283c5a35e7618

인증서 SHA256: 9200c550f2374706eff37e3a8674bc03aeba8b25c052de638972ab94365af0a2
맬웨어 샘플 SHA256: 6792324c1095458d6b78e92d5ae003a317fe3991d187447020d680e99d9b6129

인증서 SHA256: 9fc510e167d8d312e758273285414e77edac9fed944741f5682be92501f095d4
맬웨어 샘플 SHA256: 091733658c7a32f4673415b11733ae729b87e2a2540c87d08ba9adf7bc62d7ed

인증서 SHA256: a7a0e10a61a5af93624376df60e9def9436358f50aa6174e5423633b856e2be1
맬웨어 샘플 SHA256: 5aaefc5b4fb1e1973832f44ba2d82a70106d3e8999680df6deed3570cd30fb97

인증서 SHA256: b01dcea669eefdd991fc6a24678a8b6e6a6d0ad8986950328c69d0eea1dec0d5
맬웨어 샘플 SHA256: 32b9a33ad3d5a063cd4f08e0739a6ce1e11130532fd0b7e13a3a37edaf9893eb

그런데 apkmirror 사이트를 통해 확인해본 결과,

삼성과 LG의 인증서 키도 존재한 것으로 발견되었습니다.

인증서 SHA256: 34df0e7a9f1cf1892e45c056b4973cd81ccf148a4050d11aea4ac5a65f900a42

는 삼성의 것이며,

인증서 SHA256: 4274243d7a954ac6482866f0cc67ca1843ca94d68a0ee53f837d6740a8134421

는 LG의 것입니다.

그 외, . Walmart의 Onn 태블릿 을 만드는 Revoview 및 Szroco와 같은 소규모 OEM의 인증서 키도 존재한다고 합니다.

개발자의 암호화 서명 키는 Android 보안의 주요 핵심 요소 중 하나입니다. Android에서 앱을 업데이트할 때마다 휴대전화에 있는 이전 앱의 서명 키가 설치 중인 업데이트의 키와 일치해야 합니다. 일치하는 키는 업데이트가 원래 앱을 만든 회사에서 실제로 제공되고 악의적인 하이재킹 음모가 아닌지 확인합니다. 개발자의 서명 키가 유출되면 누구나 악성 앱 업데이트를 배포할 수 있으며 Android는 이를 합법적이라고 생각하고 기꺼이 설치합니다.

삼성은 XDA Developers의 Adam Conway 에게 다음과 같은 성명을 발표했습니다 .

삼성은 갤럭시 기기의 보안을 중요하게 생각합니다. 2016년부터 해당 문제를 인지하고 보안 패치를 진행하였으며, 현재까지 해당 취약점과 관련된 보안 사고는 알려진 바 없습니다. 항상 최신 소프트웨어 업데이트로 장치를 최신 상태로 유지하는 것이 좋습니다.

솔직히 그 말은 말이 안 됩니다. 삼성이 이 사실을 수년 동안 알고 있었다면 왜 여전히 손상된 키를 사용하고 있습니까? 이미 배송된 휴대폰을 업데이트하는 데 있어 삼성이 처리하고 싶지 않은 일부 물류 문제가 있을 수 있지만, 삼성은 2016년과 현재 사이에 많은 새 장치를 만들었습니다. 새 전화기에서 새 키로 새 OS 빌드를 만드는 것은 몇 년 전에 했어야 할 일처럼 보입니다.

AVPI 게시물의 댓글에는 Android 보안 팀의 성명도 있습니다.

OEM 파트너는 우리가 키 손상을 보고하자마자 즉시 완화 조치를 구현했습니다. 최종 사용자는 OEM 파트너가 구현한 사용자 완화를 통해 보호됩니다. Google은 시스템 이미지를 스캔하는 Build Test Suite에서 맬웨어에 대한 광범위한 탐지를 구현했습니다. Google Play 프로텍트도 맬웨어를 감지합니다. 이 멀웨어가 Google Play 스토어에 있거나 있었다는 징후는 없습니다. 항상 그렇듯이 사용자에게 최신 버전의 Android를 실행 중인지 확인하는 것이 좋습니다.

OEM이 실제로 해야 할 일은 손상된 키를 사용하여 앱을 보호하는 것을 중지하는 것입니다. 삼성이 계속해서 키를 사용하는 이유는 명확하지 않습니다. Android의 APK 서명 체계 V3 를 사용하면 개발자가 업데이트만으로 앱 키를 변경할 수 있습니다. 새 키와 이전 키로 앱을 인증하고 새 키만 업데이트에 지원됨을 나타냅니다. 이는 Play 스토어 앱의 요구 사항이지만 OEM의 시스템 앱에는 Play 스토어 규칙이 적용되지 않으므로 일부 OEM은 여전히 이전 v2 서명 체계를 사용하고 있습니다.

https://arstechnica.com/gadgets/2022/12/samsungs-android-app-signing-key-has-leaked-is-being-used-to-sign-malware/

https://bugs.chromium.org/p/apvi/issues/detail?id=100