Текущий месяц определенно проходит под знаком обнаружения все новых и новых уязвимостей в платформе Android. Сегодняшний день не стал исключением. Компания Check Point сообщила, что недавно найденная ими проблема, получившая имя Certifi-Gate, уже эксплуатируется злоумышленниками.
6 августа компания Check Point объявила в блоге о обнаружении новой, серьезной проблемы в Android. Впрочем, учитывая фрагментацию рынка Android-устройств, практически любая проблема является серьезной для данной ОС.
Баг получил имя Certifi-Gate. Уязвимость связана с сертификатами безопасности mobile Remote Support Tool (mRST), которые зачастую предустановлены на устройствах. С помощью mRST осуществляется удаленная поддержка приложений. Компания обнаружила в логике работы mRST и системе верификации ряд фундаментальных недочетов, из-за которых атакующий может прикинуться настоящим удаленным саппортером, получив неограниченный доступ к устройству и полные системные привилегии.
Помимо публикации данных о баге, Check Point также представила приложение Certifi-gate Scanner для проверки устройств на данную уязвимость. Приложение, в целом, не поможет пользователям ничем, кроме сообщения «да, вы уязвимы». Но именно оно помогло экспертам понять, что уже существуют случаи эксплуатации бага, о чем представители Check Point сообщили вчера. Точные данные о масштабах атак и эксплоитах пока только предстоит собрать.
«Мы связались с Google и другими производителями, чьи устройства подвержены багу. По нашим последним данным, все они уже работают над созданием патчей против Certifi-Gate. Однако нужно сказать, что уязвимость завязана на использование сертификатов ни в чем неповинных производителей и программистов со всего мира, так что исправить проблему может быть сложнее, чем в других случаях», — пояснил эксперт Check Point Ави Башан (Avi Bashan).
Между тем компания TeamViewer заявляет, что уже исправила Certifi-Gate баг для своих приложений. Компании Rsupport, Koino AnySupport и CommuniTake Remote Care, которых тоже коснулась проблема, также сообщают о работе над устранением проблемы в своих продуктах.
Зато Google, очевидно, устав от постоянных нападок и новостях о новых багах, отказывается брать на себя ответственность за Certifi-Gate. Представитель Google сообщил изданию ZDNet в письме следующее:
Так как обновления, традиционно, получат далеко не все приложения и, тем более устройства, компания Check Point предлагает свой метод решения проблемы. Любой пользователь может не только проверить свое устройство на уязвимость, при помощи приложения компании, но и приобрести подписку на Mobile Threat Prevention – программу для Android и iOS, защищающую устройство от малвари и различных атак. Обещают, что Mobile Threat Prevention защитит от эксплуатации Certifi-Gate, благодаря запуску приложений в песочнице и продвинутым методам анализа кода. Подписка для одного устройства будет стоить $4, или $8 для одного пользователя (подписка сразу для трех устройств).
Фото: mstable@flickr