Bezpečnostní experti objevili novou vážnou chybu Androidu. Umožní vzdálené ovládání zařízení a to i přes SMS zprávy. Máme se obávat nejhoršího?
Společnost Check Point před dvěma týdny na konferenci Black Hat USA 2015 odhalila další vážnou bezpečnostní díru Androidu. Na konci července jsme informovali o problému v mediální knihovně Stagefright, nově objevený problém nese označení Certifi-gate. Check Point současně na Google Play vydal skenovací aplikaci, její uživatelé mohli své výsledky anonymně zaslat k souhrnnému vyhodnocení. Ze vzorku zhruba třiceti tisíc pak společnost vyhodnotila bezpečnost modelů u jednotlivých výrobců: Sony vzešel jako nejbezpečnější, LG propadlo.
Zranitelnost ve vzdálné podpoře
Čeho se chyba Ceritifi-gate vlastně týká? Zranitelnost byla objevena v nástrojích na vzdálenou podporu zařízení (mobile Remote Support Tools - mRST). Samotný zádrhel se skrývá v certifikačním procesu mezi koncovou aplikací a pluginy v systému Android, které disponují potřebnými systémovými oprávněními. mRST nástroje jsou určeny pro rychlou podporu ze strany výrobce nebo operátora, kteří umí uživatelům poradit a pomoci přímo na dálku i díky zrcadlení displeje „zkoumaného“ smartphonu v konzoli technika.
Check Point uvádí, že nedostatky v zabezpečení systému mohly být zneužity při používání aplikací a modulů třetích stran pro vzdálenou podporu, jedná se např. o TeamViewer, RSupport, AnySupport a CommuniTake. Obdobné nástroje používají i velcí OEM výrobci, např. Samsung, LG, Lenovo, ZTE nebo Sony. Chyba se podle všeho netýká smartphonů ani tabletů řady Nexus s čistým Androidem, které žádným mRST pluginem nedisponují. Jako obzvláště nebezpečná byla označena aplikace CommuniTake, která dokáže smartphone infokovat i pouze zasláním obyčejné SMS zprávy.
Tři úrovně rizika, infikována byla volně dostupná aplikace
Check Point ve svém zkoumaném vzorku zařadil zařízení do čtyř kategorií:
- Non Vulnerable device - zařízení, u kterých se chyba Certifi-gate nich neobjevila
- Vulnerable device identified - zranitelné zařízení, podvodná aplikace bude potřebovat doinstalovat potřebný plugin
- Vulnerable plug-in installed - zranitelná zařízení, zranitelný plugin mRST je na zařízení již nainstalován
- Exploited device - zařízení má zranitelný plugin, který je zneužíván aplikací třetí strany za účelem přístupu k zařízení a zisku citlivých dat (např. přístup k displeji nebo ke klávesnici)
Hned na úvod je třeba říci, že skutečně zneužitých zařízení bylo naprosté minimum, potenciálně nebezpečných zařízení ovšem může být opět v řádu stamilionů. A jak to dopadlo u mobilních výrobců, hovoří následující grafy:
Ze 30 tisíc zkoumaných vzorků z telefonů byla polovina od Samsungu
Z 30 tisíc anonymních vzorků zařízení bylo potenciálně ohroženo 42 % zařízení, stejný podíl však patřil i těm zařízením, které chyba Certifi-gate vůbec nezasáhla
Z pohledu výrobců je na tom nejlépe Sony, drtivá většina chybou Certifi-gate ovlivněna nebyla. Nejhůře dopadly modely LG, 72 procent telefonů, které odeslaly anonymní statistiky, mělo předinstalovaný zranitelný plugin. V těsném závěsu je Samsung spolu s HTC, kteří zase mají velké množství potenciálně zranitelných telefonů
Na Google Play je v současné době snadno dostupný příklad zneužití chybí Certifi-gate - komponenta Recordable Activator (v době psaní článku Google z obchodu aplikaci odstranil, lze ji však stáhnout z webu vývojáře), která je doplňkem aplikace EASY screen recorder NO ROOT. Jak již napovídá samotný název, jedná se o aplikaci pro nahrávání zobrazeného obsahu na displeji, která registrovala 100 až 500 tisíc stažení. Samotný modul Recorder Activator zneužívá zranitelnost Certifi-gate tím, že obchází oprávnění Androidu na využití pluginu TeamVieweru pro přístup ke zdrojům na systémové úrovni a k nahrávání displeje telefonu.
Recordable dokáže nahrávat displej telefonu bez rootu, musíte však nainstalovat modul, který nainstaluje potenciálně nebezpečnou verzi TeamViewer pluginu. T9m se vaše zařízení stane snadno zneužitelné pro potenciální útočníky
Android jako takový zakazuje aplikacím třetích stran interakci s displejem, protože to potenciálně znamená velká bezpečnostní rizika a možné ohrožení soukromí. Proto je nahrávání displeje dostupné pouze pro oveřené aplikace integrované přímo v systému nebo na zařízeních s oprávněním roota. EASY screen recorder NO ROOT a Recardable Activator instalují zranitelný plugin TeamViewer on-demand, a jelikož je plugin podepsán řadou výrobců, je Androidem považován za bezpečný a jsou mu přidělena systémová oprávnění. Od té chvíle aplikace zneužívá tuto zranitelnost a umožňuje plugin využít k nahrávání displeje.
A zde je jádro problému. Komponenta Recordable Activator nijak nechrání komunikaci s ostatními dalšími komponentami, takže může být snadno zneužita bez jakékoliv oveření. To umožní jakékoliv podvodné aplikaci nahrávat displej smartphonu bez toho, aniž by to uživatel věděl.
Jak se ochránit?
V případě, že máte podle testovací aplikace zranitelné zařízení, je třeba počkat až jeho výrobce vydá opravu v rámci softwarové aktualizace. Instalujte aplikace jen z důvěryhodných zdrojů, a zvažte případné instalace nabízených doplňkových modulů. Pokud má vaše zařízení nainstalovaný zranitelný plugin, můžete jej zkusit odinstalovat.
Odinstalace balíčku pro vzdálenou podporu (je-li balíček k dispozici)
Přes Nastavení - Aplikace - Vše vyhledejte položku Remote support service a odinstalujte ji. Současně také odinstalujte aplikace, které by mohly zaznamenávat to, co se děje na displeji bez nutného root oprávnění. Než jednotliví výrobci opraví chybu v zabezpečení Androidu, je každá takováto aplikace potenciálním bezpečnostním rizikem.
