Zranitelnost Certifi-gate v Androidu – otestujte své zařízení

Teprve nedávno se rozběhl kolotoč kolem zranitelnosti v systému Android, kde stačilo zaslat upravenou MMS zprávu a útočník získal přístup ke smartphonu. Nyní zde máme další problém, konkrétně se jedná o zranitelnost Certifi-gate, díky které lze získat kompletní přístup ke smartphonu – lze krást osobní údaje, sledovat polohu zařízení, zapnout mikrofony pro záznam rozhovorů a provádět řadu dalších akcí s infikovaným zařízením.

Problém se nachází v možnosti vzdálené správy zařízení za pomocí aplikací využívajících Remote Support Tool (mRST). Chyby se nacházejí v samotných autorizačních metodách. Zranitelnost Certifi-gate umožňuje poskytnout útočníkům přístup bez vědomí majitele zařízení. Přesněji řečeno, útok lze maskovat jako oficiální vzdálenou správu/podporu, což umožní instalaci malwaru, či jiného škodlivého softwaru.

Bohužel nejde opravit tuto zranitelnost aktualizací aplikací, musí dojít k updatu celého systému, jelikož nástroje pro vzdálenou správu jsou začleněny do samotného jádra. Certifi-gate se týká smartphonů od společností LG, Samsung, HTC a ZTE. Za objevem stojí společnost Check Point Software Technologies, která prezentovala svůj objev na konferenci Black Hat USA 2015 v Las Vegas. Zároveň vydala aplikaci pro kontrolu, jestli je vaše zařízení napadnutelné.

Certifi-gate Scanner http://play.google.com/store/apps/details?id=com.checkpoint.capsulescanner Check Point Software Technologies, Ltd. ANDROID

Zdroj: blog.checkpoint.com

Přemysl Vaculík

Androiďák, YouTuber, šéfredaktor, tvůrce @dotekomanie a +dotekománie.cz. Také milovník adrenalinových sportů, na které nemá čas.