Сертификатом платформы в том числе подписывается системное приложение «android», которое выполняется под идентификатором пользователя с наивысшим привилегиями (android.uid.system) и имеет полномочия системного доступа, в том числе к данным пользователей. Заверение вредоносного приложения тем же сертификатом, позволяет организовать его выполнение с тем же идентификатором пользователя и с теми же уровнем доступа к системе, без получения какого-то подтверждения от пользователя.
В выявленных вредоносных приложениях, подписанных сертификатами платформы, присутствовал код для перехвата информации и установки в систему дополнительных внешних вредоносных компонентов. По данным Google следов публикации рассматриваемых вредоносных приложений в каталоге Google Play Store не выявлено. Для дополнительной защиты пользователей в Google Play Protect и в тестовый набор Build Test Suite, применяемый для сканирования системных образов, уже добавлено определение подобных вредоносных приложений.
Для блокирования применения скомпрометированных сертификатов производителем предложено сменить сертификаты платформы, сгенерировав для них новые открытые и закрытые ключи. Производителям также предписано провести внутреннее расследование для выявления источника утечки и принять меры для недопущения подобных инцидентов в будущем. Также рекомендовано свести к минимуму число системных приложений, для подписи которых используется сертификат платформы, чтобы упростить ротацию сертификатов в случае повторения утечек в будущем.
Источник: http://www.opennet.ru/opennews/art.shtml?num=58248