Apps har rod i certifikaterne

Artiklen blev oprindeligt publiceret den 29/8/2014

Mange apps til Android deler certifikat med andre apps. Nogle bruger certifikater, hvis private nøgle er kendt. Det indebærer en sikkerhedsrisiko.

Enhver app til Android er signeret med et digitalt certifikat. Kun kode der er signeret med samme nøgle, kan opdatere en app.

Ideelt set bør der derfor være et unikt certifikat for enhver app. Men sikkerhedsfirmaet Palo Alto Networks har opdaget, at mange apps deler certifikater.

Firmaet har analyseret 246.000 apps til Android. Til sammen har de kun 11.681 certifikater.

Når flere apps deler et certifikat, medfører det, at de kan køre i samme proces. De kan i nogle tilfælde udveksle data indbyrdes.

Hvis en hacker får fat i den private nøgle, som en række apps er signeret med, kan vedkommende opdatere dem alle med skadelig programkode.

Der var 1.323 certifikater, som kun blev brugt til at signere en enkelt app. 6.925 certifikater blev brugt til at signere 6-19 apps.

Nogle udviklere bruger det samme certifikat til at signere alle de apps med, som de udvikler. Der findes således over 10.000 apps signeret med et enkelt certifikat.

Nogle apps er signeret med private nøgler, der er offentligt kendt. Det er typisk nøgler, der indgår i eksempler på, hvordan man udvikler apps.

Forskerne fandt mindst 87 apps, der bruger en nøgle ved navn Testkey. De er til sammen hentet over 1,6 millioner gange.

Anbefaling
Udviklere af apps bør sikre deres anvendelse af certifikater for at hindre risikoen for misbrug.

Links