Hitelesítéssel kapcsolatos hibát fedezett fel a Check Point az androidos eszközökben. Jó nevet is talált neki: Certifi-gate. A biztonsági cég a Las Vegas-i Black Hat konferencián ismertette az így elvezetett sérülékenységet, amely a mobilokban használt mobil Remote Support Tool (RST) eszközök egy eddig ismeretlen hibáját használja ki.
A biztonsági rés meglehetősen durva, mert a támadók átvehetik az androidos készülék fölötti irányítást, megszerezhetik a személyes adatokat (kontaktlisták, üzenetek stb.), és bekacsolható akár a mikrofon is, amivel beszélgetések hallgathatók le. Gyakorlatilag minden olyan tevékenységet végre tud hajtani a támadó, amihez egyébként felhasználói beavatkozás szükséges.
A távoli támogatáson keresztül támadnak
A támadás elnevezése azért találó, mert arra a folyamatra épül, melynek során a gyártók távoli támogatást biztosítanak a készülékükhöz. Az RST segítségével egy felhasználó távolról kaphat személyes segítséget. Ennek során a támogatást végző távoli szakember replikálhatja a felhasználó képernyőjét, és szimulálhatja az akciókhoz társított hangokat is s saját konzolján.
A Check Point azonban olyan hibákat talált ezekben az RST alkalmazásokban, amelyek révén a hitelesítés megkerülhető, és gyakorlatilag bármi telepíthető a felhasználó eszközére. A támadók a távoli támogatásnak tudják kiadni magukat, így gyakorlatilag teljes jogosultságot tudnak szerezni a támadott eszköz fölött.
A problémát fokozza, hogy az ilyen alkalmazást az eszközgyártók rendszerint előre telepítik a készülékekre, és azt a felhasználó nem is tudja törölni.
Gyors segítség a frissítésig
A Check Point szerint több millió készüléket érint a probléma, még a legfrissebb Android-verzióval, a Lollipoppal szállítottakat is. Csak a TeamViewer Quick Support, amely az egyik legnépszerűbb ilyen app, több mint 5 millió eszközön található meg. Többek között a HTC, a Lenovo, az LG és a Samsung készülékei is érintettek lehetnek.
De nem csak a TeamViewert használó készülékek vannak kitéve a veszélynek. A hitelesítés folyamat hasonló hibáját találták a kutatók az Rsupport, az AnySupport és a CommuniTake alkalmazásban is.
A gyártók már dolgoznak a probléma megoldásán. Addig is a Check Point készített egy a Google Playből letölthető appot, amelyet telepítve legalább azt lehet ellenőrizni, hogy az adott készüléket érinti-e ez a potenciális támadási forma.
Az újabb és a közelmúltban felfedezett Stagefright hiba jól mutatja, milyen nehéz az androidos rendszerek biztonságát garantálni. Ahogy most a Check Point a Certifi-gate esetében, a Zimperium is csak annyival támogathatta a felhasználókat, hogy kiadott egy ellenőrző alkalmazást.
A Certifi-gate azonban másra is rámutat: arra, hogy a Google által szorgalmazott havi rendszerességű frissítés mennyire nehezen kezelhető a fejlesztés decentralizáltsága miatt is. Hiába hasonlították sokan a lépést a Microsoft javító keddjeihez, jelen állapotában az androidos ökoszisztémában dolgozó cégek alkalmatlanok arra, hogy ugyanolyan egységesen lépjenek fel, mint a Microsoft vagy bármely más szoftverfejlesztő a saját belső fejlesztésű termékei esetén.
Produktivitás mint stratégiai előny: mit csinálnak másként a sikeres cégek?
A META-INF által szervezett Productivity Day 2026 idén a mesterséges intelligencia és a vállalati produktivitás kapcsolatát helyezi fókuszba. Az esemény középpontjában a META-INF nagyszabású produktivitási kutatásának bemutatása áll, amely átfogó képet nyújt a magyar vállalatok hatékonyságáról és működési kihívásairól.
EGY NAPBA SŰRÍTÜNK MINDENT, AMIT MA EGY PROJEKTMENEDZSERNEK TUDNIA KELL!
Ütős esettanulmányok AI-ról, agilitásról, csapattopológiáról. Folyamatos programok három teremben és egy közösségi térben: exkluzív információk, előadások, interaktív workshopok, networking, tapasztalatcsere.
2026.03.10. UP Rendezvénytér