Elkezdték kihasználni a "Certifi-gate" sebezhetőséget az érintett Android telefonokon

Android

A Las Vegasban nemrég megrendezett éves Black Hat biztonsági konferencián a Check Point részéről Ohad Bobrov és Avi Bashan egy előadást tartott, amelyben egy olyan Android sebezhetőségről volt szó, amely a mobiltelefon gyártók és mobil szolgáltatók által telepített egyes szoftverek nyomán jelentkezik bizonyos androidos készülékeken. Nagyszámú (több millió) készülék lehet érintett.

A Check Point által csak "Certifi-Gate"-nek keresztelt sebezhetőséget bizonyos, távoli adminisztrálásra használható szoftverek nem biztonságos verzióinak előtelepítése okozza az érintett készülékeken. Ezeket a szoftvereket a telefongyártó vagy a mobil szolgáltató telepíti a készülékekre, hogy azokon keresztül távsegítséget nyújthasson az ügyfeleknek. Ilyen távoli adminisztrációs szoftver például a TeamViewer, CommuniTake Remote Care és a MobileSupport. Ezek a szoftverek olyan tanúsítványokat hoznak magukkal, amelyek teljes hozzáférést biztosítanak a telefon operációs rendszeréhez és hardveréhez egyaránt. A Samsung, LG és HTC telepíti előszeretettel készülékeire ezeket a szoftvereket.

A Check Point elérhetővé tett egy alkalmazást a Google Play-en, amellyel szkennelni lehet, hogy a telefonunk sebezhető-e Certifi-gate-re. A neve Certifi-Gate Scanner. A szkenner alkalmazással anonymous adatok küldésével segíthetjük a Check Point munkáját a sebezhetőséggel kapcsolatban.

Certifi-gate szkenner

A Check Point legfrissebb blogbejegyzése szerint a Certifi-Gate Scanner-től érkező adatok alapján elkezdték kihasználni az érintett telefonokon a sebezhetőséget. Az adatok alapján a Google Play Store-ban legalább egy alkalmazás - "Recordable Activator" - volt, amely kihasználta a sebezhetőséget arra, hogy root jogokat szerezzen az érintett Android készülékeken. A Check Point szerint Google már eltávolított az alkalmazást és vizsgálja a helyzetet:

<UPDATE: At August 25, 2015 @ 730AM PDT, the Check Point Mobile Research Team noticed that Google had removed Recordable Activator from Google Play. No further communication was received by Check Point from Google beyond notification that it was investigating the issue.>

Ugyan a Recordable Activator csak elenyésző számú készüléken van (volt) telepítve azok közül, amit a Check Point szkennere ellenőrzött, az eset mégis rámutat arra, hogy a telefongyártók és mobil szolgáltatók által előtelepített nem biztonságos szoftverek nyomán bemutatkozó sebezhetőségeket akár "legitim", a Google Play Store-ban megtalálható, annak ellenőrzésén átjutott mobil alkalmazások is kihasználhatják.

Az érintett telefonokon a probléma javítása nem egyszerű. A Check Point azt javasolja, hogy akinek a készülékén a szkenner sebezhetőséget mutat, vegye fel a kapcsolatot a telefonja gyártójával és/vagy mobil szolgáltatójával:

Mitigation

If your device is in a vulnerable state, and you should consider reaching out to your mobile carrier or device manufacturer (Samsung, LG, etc.) to ask when a patch or fix will be delivered.

The vulnerability can be fully remediated by a new ROM that revokes certificates the old, vulnerable plug-ins were signed with. As far as we know today, no device manufacturers have delivered a patch.
Our current recommendation is to download only trustworthy apps, and run the Certifi-gate scanner app after installing questionable apps.
If you are being asked to install a plug-in for a mobile remote support tool, consider canceling the installation.

További részletek itt.

( trey | 2015. 08. 26., sze – 09:53 )

"Check Point uncovered some startling new information:

  • An instance of Certifi-gate was found running in the wild in an app on Google Play
  • At least 3 devices sending anonymous scan results were actively being exploited
  • 15.84% of devices anonymously reported having a vulnerable plugin installed
  • Devices made by LG were the most vulnerable, followed by Samsung and HTC"

--
trey @ gépház

( trey | 2015. 08. 26., sze – 10:04 )

A szkenner app négy állapotot jelezhet:

1) minden OK (lásd kép a cikkben) - a készüléket nem érinti a Certifi-gate sebezhetőség (a tanúsítványok nincsenek jelen, azt a gyártó / szolgáltató nem telepítette)

2) sebezhető készülék - a készüléket érinti a Certifi-gate, a sebezhető plugin nincs fenn a készüléken, azt a rosszindulatú app-nak előbb telepítenie kell (a gyártó / szolgáltató csak a tanúsítvány tette fel, a sebezhető távmenedzsment plugint / app-ot nem)

3) készülék sebezhető pluginnel - a készülék sebezhető Certifi-gate-re és a sebezhető plugin is telepítve van. Ezt bármely rosszindulatú szoftver kihasználhatja

4) aktívan kihasznált készülék - a készüléket érinti a Certifi-gate, azon fenn van sebezhető plugin, ráadásul a sebezhetőséget egy 3rd party app már aktívan ki is használja.

http://blog.checkpoint.com/2015/08/25/certifigate-statistics-exploitati…

--
trey @ gépház

( Takaya | 2015. 08. 26., sze – 12:12 )

"If your device is in a vulnerable state, and you should consider reaching out to your mobile carrier or device manufacturer (Samsung, LG, etc.) to ask when a patch or fix will be delivered."

https://www.youtube.com/watch?v=_n5E7feJHw0
--

"You can hide a semi truck in 300 lines of code"

Nekem azt mondta, hogy rendben van. Ugyanaz jelent meg mint a fenti képen a zöld körben pipával.
Mondjuk az én telefonom egy drága, különlegesen jó márka: Ovetmax Vertis-01 :D
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

( manfreed (nem ellenőrzött) | 2015. 08. 26., sze – 19:17 )

"Ezeket a szoftvereket a telefongyártó vagy a mobil szolgáltató telepíti a készülékekre, hogy azokon keresztül távsegítséget nyújthasson az ügyfeleknek."

Hogy a fenébe gondolja akármelyik gyártó, vagy mobil szolgáltató, hogy egy ilyen cuccot felrak a telefonra?!

( answ | 2015. 08. 27., cs – 04:15 )

Galaxy S III (I9300) sebezhető.
"Your device model is affected by Certifi-gate vulnerabilities."

Mindjárt írok is a Samsungnak :)

( Darkcomet | 2015. 08. 27., cs – 19:36 )

Én a második vagyok. Lg g3.

--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.