Urządzenia LG, Samsunga i HTC najbardziej zagrożone przez Certifi-gate

26 sierpnia, 2015

Na początku sierpnia, podczas konferencji Black Hat USA 2015 w Las Vegas, specjaliści firmy Check Point Software Security ogłosili odkrycie podatności „Certifi-gate” w systemie Android, która dotyczy urządzeń największych producentów. W tym samym czasie Check Point udostępnił użytkownikom Androida aplikację umożliwiającą sprawdzenie podatności swojego urządzenia na powyższe zagrożenie.

Certifi-gate Scanner został pobrany już blisko 100 tys. razy ze sklepu Google Play. Firma Check Point otrzymała ponad 30 tys. anonimowych wyników skanowania od użytkowników końcowych, dzięki czemu była w stanie określić narażenie na zagrożenia dla poszczególnych urządzeń, producentów i dostawców narzędzi Mobile Remote Support Tools (mRST).

QuickMemo 2015 08 26 17 56 09 QuickMemo 2015 08 26 17 56 24 QuickMemo 2015 08 26 17 57 01
Z analiz wynika, że użytkownik jest narażony na trzy zasadnicze rodzaje zagrożeń:

Urządzenie podatne na zagrożenie – Urządzenie jest podatne na zagrożenie Certifi-gate, zainstalowano podatną wtyczkę mRST, a aplikacja innego producenta wykorzystuje wtyczkę w celu uzyskania dostępu wyższego poziomu do urządzenia i jego wrażliwych zasobów. (tj. ekranu lub klawiatury itd.)

Zainstalowana podatna wtyczka – Urządzenie jest podatne na zagrożenie Certifi-gate, a na urządzeniu zainstalowano podatną wtyczkę mRST. Dowolna złośliwa aplikacja może uzyskać pełną kontrolę nad urządzeniem wykorzystując zainstalowaną wtyczkę.

Zidentyfikowane podatne urządzenie – Urządzenie jest podatne na zagrożenie Certifi-gate. Złośliwa aplikacja musi zainstalować podatną wtyczkę przed uruchomieniem exploitu (złośliwego kodu).
 
Według dostarczonych statystyk, najbardziej podatnymi na zagrożenia są urządzenia firmy LG – głównie przez wtyczki mRST (ponad 70% przypadków), a także HTC oraz Samsunga. Na przeciwległym biegunie znalazł się sprzęt mobilny firmy Sony, których większość (blisko 99%) została uznana za bezpieczne. 

Recordable Activator zagrożeniem

Otrzymane przez Check Pointa wyniki skanowania Certifi-gate wskazują, że aplikację stosującą exploit zainstalowano na wielu urządzeniach. Recordable Activator, aplikacja opracowana przez brytyjską firmę Invisibility Ltd, którą pobrano od 100 tys. do 500 tys. razy ze sklepu Google Play, w skuteczny sposób wykorzystywała podatność Certifi-gate, omijając model uprawnień Android, korzystając ze wtyczki TeamViewer, by uzyskać dostęp do zasobów systemowych i zapisu danych ekranowych urządzenia.

Zdaniem zespołu badawczego firmy Check Point, deweloper „Recordable Activator” nie wykazał się w kwestii zabezpieczenia współpracy z innymi składnikami, a komunikacja ze składnikiem „Recordable Activator” może zostać zafałszowana bez jakiegokolwiek uwierzytelniania, umożliwiając dowolnej złośliwej aplikacji zapisanie danych ekranowych urządzenia.

Aplikacja „Recordable Activator” wykazuje następujące nieodłączne problemy dotyczące Certifi-gate:

  • Aplikacje bez uprawnień mogą wykorzystać podatność, by przejąć pełną kontrolę nad urządzeniem bez konieczności żądania uprawnień od systemu Android.
  • Nawet gdy TeamViewer załatał wersję oficjalną, inne strony mogą w szkodliwy sposób nadużywać starych wersji wtyczki, by podejmować szkodliwe działania.
  • Istnieje możliwość wykorzystywania urządzeń mobilnych nawet, jeśli podatna wtyczka nie została preinstalowana na urządzeniu.
  • Aplikacje mogące wykorzystywać takie podatności można obecnie znaleźć w sklepie Google Play.
  • Jedynym rozwiązaniem problemu dla producentów jest udostępnienie podatnym urządzeniom zaktualizowanego ROMu. 

Więcej informacji znajduje się pod adresem:
http://blog.checkpoint.com/2015/08/25/certifigate-statistics-exploitation-mitigation/ 
 

*Certifi-gate to podatność, która pozwala aplikacjom na uzyskanie nieautoryzowanych praw dostępu, używanych zwykle przez aplikacje do zdalnego wsparcia, które są albo preinstalowane albo osobiście instalowane na urządzeniu.
​
Atakujący mogą wykorzystać Certifi-gate do uzyskania nieograniczonego dostępu do urządzenia, umożliwiając w ten sposób między innymi kradzież danych personalnych, śledzenie lokalizacji urządzenia czy włączenie mikrofonów celem nagrywania rozmów.       

źródło: Check Point

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]