Hitelesítéssel kapcsolatos hibát fedezett fel a Check Point az androidos eszközökben. Jó nevet is talált neki: Certifi-gate. A biztonsági cég a Las Vegas-i Black Hat konferencián ismertette az így elvezetett sérülékenységet, amely a mobilokban használt mobil Remote Support Tool (RST) eszközök egy eddig ismeretlen hibáját használja ki.

A biztonsági rés meglehetősen durva, mert a támadók átvehetik az androidos készülék fölötti irányítást, megszerezhetik a személyes adatokat (kontaktlisták, üzenetek stb.), és bekacsolható akár a mikrofon is, amivel beszélgetések hallgathatók le. Gyakorlatilag minden olyan tevékenységet végre tud hajtani a támadó, amihez egyébként felhasználói beavatkozás szükséges.

A távoli támogatáson keresztül támadnak

A támadás elnevezése azért találó, mert arra a folyamatra épül, melynek során a gyártók távoli támogatást biztosítanak a készülékükhöz. Az RST segítségével egy felhasználó távolról kaphat személyes segítséget. Ennek során a támogatást végző távoli szakember replikálhatja a felhasználó képernyőjét, és szimulálhatja az akciókhoz társított hangokat is s saját konzolján.

A Check Point azonban olyan hibákat talált ezekben az RST alkalmazásokban, amelyek révén a hitelesítés megkerülhető, és gyakorlatilag bármi telepíthető a felhasználó eszközére. A támadók a távoli támogatásnak tudják kiadni magukat, így gyakorlatilag teljes jogosultságot tudnak szerezni a támadott eszköz fölött.

A problémát fokozza, hogy az ilyen alkalmazást az eszközgyártók rendszerint előre telepítik a készülékekre, és azt a felhasználó nem is tudja törölni.

Gyors segítség a frissítésig

A Check Point szerint több millió készüléket érint a probléma, még a legfrissebb Android-verzióval, a Lollipoppal szállítottakat is. Csak a TeamViewer Quick Support, amely az egyik legnépszerűbb ilyen app, több mint 5 millió eszközön található meg. Többek között a HTC, a Lenovo, az LG és a Samsung készülékei is érintettek lehetnek.

De nem csak a TeamViewert használó készülékek vannak kitéve a veszélynek. A hitelesítés folyamat hasonló hibáját találták a kutatók az Rsupport, az AnySupport és a CommuniTake alkalmazásban is.

A gyártók már dolgoznak a probléma megoldásán. Addig is a Check Point készített egy a Google Playből letölthető appot, amelyet telepítve legalább azt lehet ellenőrizni, hogy az adott készüléket érinti-e ez a potenciális támadási forma.

Az újabb és a közelmúltban felfedezett Stagefright hiba jól mutatja, milyen nehéz az androidos rendszerek biztonságát garantálni. Ahogy most a Check Point a Certifi-gate esetében, a Zimperium is csak annyival támogathatta a felhasználókat, hogy kiadott egy ellenőrző alkalmazást.

A Certifi-gate azonban másra is rámutat: arra, hogy a Google által szorgalmazott havi rendszerességű frissítés mennyire nehezen kezelhető a fejlesztés decentralizáltsága miatt is. Hiába hasonlították sokan a lépést a Microsoft javító keddjeihez, jelen állapotában az androidos ökoszisztémában dolgozó cégek alkalmatlanok arra, hogy ugyanolyan egységesen lépjenek fel, mint a Microsoft vagy bármely más szoftverfejlesztő a saját belső fejlesztésű termékei esetén.