Hlavní navigace

Certifi-gate, díra v Androidu, se ukrývá i v aplikacích z Google Play

 Autor: Google
Daniel Dočekal 1. 9. 2015

Bezpečnostní nedostatek Androidu objevený Check Pointem a pojmenovaný Certifi-gate proklouzl do schválených aplikací v Google Play.

Certifi-gate je bezpečnostní chyba v Androidu, která může vést ke kompletnímu ovládnutí telefonu či tabletu. Týká se modulu vzdálené podpory (Remote Support Tool, mRST) a autorizace mezi touto aplikací a pluginy fungujícími v Androidu na systémové úrovni.

Prostřednictvím certifikátů od mRST je možné získat privilegovaný systémový přístup, proto je tato chyba pojmenována právě certifi-gate. Problém je v tom, že na řadě telefonů od řady výrobců jsou právě pomůcky pro vzdálenou podporu předinstalované a mají „root“ přístupová práva. Navíc nejde zdaleka o neznámé pomůcky a řadu z nich si pořídíte záměrně – například může jít o TeamViewerRsupport či CommuniTake Remote Care.

Podle Certifi-gate is alive, well, and hiding in a Google Play-approved app jsou v Google Play k nalezení aplikace, které certifi-gate obsahují. Jako příklad je uvedena aplikace Recordable Activator. Ta slouží k nahrávání dění na displeji Androidu, což je typicky věc, pro kterou je potřeba získat přístup na odpovídající systémové úrovni.

TeamViewer mezitím zneužitelnost své aplikace napravil, ale výše zmíněný Recordable Activator používá starší verzi TeamVieweru. Autor aplikace, Christopher Fraser, uvádí, že objevil chybu v dubnu 2015 (nezávisle na objevení chyby lidmi z Check Pointu) a umožnilo mu to podstatně snáze zajistit nahrávání obrazovky.

Jakkoliv Recordable Activator není škodlivá aplikace (pouze využívá bezpečnostní nedostatek), může se škodlivou aplikací stát – útočníci mohou aplikaci zneužít pro získání přístupu do vašeho zařízení. Z Google Play Recordable Activator zmizel 25. srpna, ale můžete ho mít v mobilu či tabletu, stále je v Amazon obchodě a je možné ho najít i pod jiným jménem coby EASY screen recorder.

Check Point v Google Play nabízí Certifi-gate Scanner aplikaci, tak umožňuje prověřit, jestli vaše zařízení s Androidem je přes certifi-gate napadnutelné

Našli jste v článku chybu?

2. 9. 2015 8:28

Výrobci smartphonů záplaty nedělají , i velcí výrobci jako Sony, HTC, ale i Huawey či ZTE nevydá za životnost jednoho typu svého výrobku na něj ani jednu záplatu. A pokud ano netýká se bezpečnosti.

Google samozřejmě to záplatovat umí, ale z důvodů licenčních ujednání to dělá pouze na svých Nexusech a smarphonech z Google play edice. Nemá důvod proč by záplatoval třeba Sony, záplaty samozřejmě poskytne a je jen na Sony jestli vydá patch.

Android je otevřený , proto se v něm tak dobře ty chyby h…

1. 9. 2015 16:41

Situace se nezmění né protože AOS je nekvalitní bastl, ale protože výrobci mobilních telefonů obecně nedělají skoro žádné záplaty.

Někdo by musel firmy vyrábějící smartphony naučit vydávat pravidelně opravy. Firma než aby aplikovala patch a OTA vydala aktualizace firmware vydá raději nový telefon.

Druháý věc je ta že ty bezpečnostní díry zatím nikdo pořádně nezneužil. A slouží jen tak k PR různým bezpečnostních odborníků nebo firmám.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí