Büyük bir güvenlik sızıntısı, Samsung, LG ve öbür aygıtlarda tüm Android işletim sistemine erişim sağlayabilen makus emelli yazılım uygulamalarının oluşturulmasına yol açtı. Bu durum hakkında açıklama yapan Google, şirketlerin alabileceği tedbirlerden bahsetti. Sorunun özü, birden çok Android OEM’in platform imzalama anahtarlarının ilgili şirketlerinin dışına sızdırılmış olmasıdır. Bu anahtar, aygıtınızda çalışan Android sürümünün üretici tarafından oluşturulmuş legal olduğundan emin olmak için kullanılır. Aynı anahtar, ferdi uygulamaları imzalamak için de kullanılabilir.
Kötü hedefli yazılım uygulamaları, kullanıcı etkileşimi olmadan sisteme erişim sağlayabilir
Tasarım gereği Android, işletim sisteminin kendisini imzalamak için kullanılan birebir anahtarla imzalanmış tüm uygulamalara güvenir. Bu uygulama imzalama anahtarlarına sahip makus niyetli bir saldırgan, etkilenen bir aygıtta makus maksatlı yazılıma sistem seviyesinde müsaadeler vermek için Android’in paylaşılan kullanıcı kimliği sistemini kullanabilir. Temelde, etkilenen bir aygıttaki tüm datalar bir saldırgan tarafından kullanılabilir.
Google’ın hususla ilgili kısa açıklamasına nazaran etkilenen şirketler ortasında teknoloji devlerinden LG ve Samsung’da bulunmakta. Google bu durum karşısında şirketlerin hemen Android platformu imzalama anahtarlarını artık sızdırılanları kullanmayacak formda değiştirmesini önerdi.
