(来源: Dsimic )
开发人员的加密签名密钥是 Android 安全的主要关键之一。每当 Android 更新应用程序时,您手机上旧应用程序的签名密钥需要与您正在安装的更新密钥相匹配。匹配的密钥确保更新实际上来自最初制作您的应用程序的公司,而不是一些恶意劫持阴谋。如果开发人员的签名密钥泄露,任何人都可以分发恶意应用程序更新,而 Android 会很乐意安装它们,认为它们是合法的。
在 Android 上,应用程序更新过程不仅适用于从应用程序商店下载的应用程序,您还可以更新由 Google、您的设备制造商和任何其他捆绑应用程序制作的捆绑系统应用程序。虽然下载的应用程序有一套严格的权限和控制,但捆绑在 Android 系统中的应用程序可以获得更强大和更具侵入性的权限,并且不受通常的 Play 商店限制(这就是为什么 Facebook 总是付费成为捆绑应用程序的原因).如果第三方开发人员丢失了他们的签名密钥,那就太糟糕了。如果Android OEM丢失了他们的系统应用程序签名密钥,那将是非常非常糟糕的。
猜猜发生了什么! Łukasz Siewierski 是 Google Android 安全团队的成员,他在 Android 合作伙伴漏洞倡议 (AVPI) 问题跟踪器上发表了一篇文章,详细介绍了被泄露的平台证书密钥,这些密钥被积极地用于签署恶意软件。该帖子只是一个密钥列表,但通过APKMirror或 Google 的VirusTotal网站运行每个密钥都会为一些受损密钥添加名称: 三星、 LG和联发科是泄露密钥列表中的重击者,还有一些较小的原始设备制造商,如Revoview和 Szroco,它们生产沃尔玛的 Onn 平板电脑。