Hlavní navigace

Certifi-gate, díra v Androidu, se ukrývá i v aplikacích z Google Play

1. 9. 2015
Doba čtení: 1 minuta

Sdílet

 Autor: Google
Bezpečnostní nedostatek Androidu objevený Check Pointem a pojmenovaný Certifi-gate proklouzl do schválených aplikací v Google Play.

Certifi-gate je bezpečnostní chyba v Androidu, která může vést ke kompletnímu ovládnutí telefonu či tabletu. Týká se modulu vzdálené podpory (Remote Support Tool, mRST) a autorizace mezi touto aplikací a pluginy fungujícími v Androidu na systémové úrovni.

Prostřednictvím certifikátů od mRST je možné získat privilegovaný systémový přístup, proto je tato chyba pojmenována právě certifi-gate. Problém je v tom, že na řadě telefonů od řady výrobců jsou právě pomůcky pro vzdálenou podporu předinstalované a mají „root“ přístupová práva. Navíc nejde zdaleka o neznámé pomůcky a řadu z nich si pořídíte záměrně – například může jít o TeamViewerRsupport či CommuniTake Remote Care.

Podle Certifi-gate is alive, well, and hiding in a Google Play-approved app jsou v Google Play k nalezení aplikace, které certifi-gate obsahují. Jako příklad je uvedena aplikace Recordable Activator. Ta slouží k nahrávání dění na displeji Androidu, což je typicky věc, pro kterou je potřeba získat přístup na odpovídající systémové úrovni.

TeamViewer mezitím zneužitelnost své aplikace napravil, ale výše zmíněný Recordable Activator používá starší verzi TeamVieweru. Autor aplikace, Christopher Fraser, uvádí, že objevil chybu v dubnu 2015 (nezávisle na objevení chyby lidmi z Check Pointu) a umožnilo mu to podstatně snáze zajistit nahrávání obrazovky.

WT100 persony2 (Ilinčev aspol)

Jakkoliv Recordable Activator není škodlivá aplikace (pouze využívá bezpečnostní nedostatek), může se škodlivou aplikací stát – útočníci mohou aplikaci zneužít pro získání přístupu do vašeho zařízení. Z Google Play Recordable Activator zmizel 25. srpna, ale můžete ho mít v mobilu či tabletu, stále je v Amazon obchodě a je možné ho najít i pod jiným jménem coby EASY screen recorder.

Check Point v Google Play nabízí Certifi-gate Scanner aplikaci, tak umožňuje prověřit, jestli vaše zařízení s Androidem je přes certifi-gate napadnutelné

Autor článku

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.