  |
SamsungやLGなどのAndroid OEMからアプリ署名鍵が流出してマルウェアの署名に利用されていたことが明らかに - GIGAZINE https://gigazine.net/news/20221203-samsung-android-signing-key-leaked/
>流出したアプリ署名鍵でマルウェアを署名すれば、同じユーザーIDを実行することで端末への高度なアクセス権限を取得することが可能になる
>あらかじめインストールされているアプリは強力な権限を有しており、通常のGoogle Playの制限対象にはならない
>Samsungから流出したアプリ署名鍵を利用したマルウェアが2016年時点で存在していたと指摘しており、署名鍵の流出がかなり前から起きていた可能性
>Samsungは漏えいしたアプリ署名鍵を把握していたことを認めている
>この脆弱性にどういった対処を行ったかは明らかではなく間違いなくどこかで出回っているように思われ
>現時点ではこれらの署名鍵がどのように流通しているのか、また、その結果として何らかの損害が発生しているのかについては明確ではありません
35
