Hlavní navigace

Certifi-gate, díra v Androidu, se ukrývá i v aplikacích z Google Play

Autor: Google
Daniel Dočekal

Bezpečnostní nedostatek Androidu objevený Check Pointem a pojmenovaný Certifi-gate proklouzl do schválených aplikací v Google Play.

Certifi-gate je bezpečnostní chyba v Androidu, která může vést ke kompletnímu ovládnutí telefonu či tabletu. Týká se modulu vzdálené podpory (Remote Support Tool, mRST) a autorizace mezi touto aplikací a pluginy fungujícími v Androidu na systémové úrovni.

Prostřednictvím certifikátů od mRST je možné získat privilegovaný systémový přístup, proto je tato chyba pojmenována právě certifi-gate. Problém je v tom, že na řadě telefonů od řady výrobců jsou právě pomůcky pro vzdálenou podporu předinstalované a mají „root“ přístupová práva. Navíc nejde zdaleka o neznámé pomůcky a řadu z nich si pořídíte záměrně – například může jít o TeamViewerRsupport či CommuniTake Remote Care.

Podle Certifi-gate is alive, well, and hiding in a Google Play-approved app jsou v Google Play k nalezení aplikace, které certifi-gate obsahují. Jako příklad je uvedena aplikace Recordable Activator. Ta slouží k nahrávání dění na displeji Androidu, což je typicky věc, pro kterou je potřeba získat přístup na odpovídající systémové úrovni.

TeamViewer mezitím zneužitelnost své aplikace napravil, ale výše zmíněný Recordable Activator používá starší verzi TeamVieweru. Autor aplikace, Christopher Fraser, uvádí, že objevil chybu v dubnu 2015 (nezávisle na objevení chyby lidmi z Check Pointu) a umožnilo mu to podstatně snáze zajistit nahrávání obrazovky.

EBF17

Jakkoliv Recordable Activator není škodlivá aplikace (pouze využívá bezpečnostní nedostatek), může se škodlivou aplikací stát – útočníci mohou aplikaci zneužít pro získání přístupu do vašeho zařízení. Z Google Play Recordable Activator zmizel 25. srpna, ale můžete ho mít v mobilu či tabletu, stále je v Amazon obchodě a je možné ho najít i pod jiným jménem coby EASY screen recorder.

Check Point v Google Play nabízí Certifi-gate Scanner aplikaci, tak umožňuje prověřit, jestli vaše zařízení s Androidem je přes certifi-gate napadnutelné

Našli jste v článku chybu?