Суть проблемы
Проблема заключается в неправильной работе методов авторизации в приложениях класса Remote Support Tool (mRST), предназначенных для дистанционного обслуживания устройств, в том числе посредством функции удаленного рабочего стола.
Приложения mRST входят в базовую прошивку сотен миллионов Android-устройств, выпускаемых такими производителями, как LG, Samsung, HTC и ZTE.
С помощью уязвимостей Certifi-gate злоумышленники могут обмануть систему и представиться в качестве легитимного узла управления (то есть официального поставщика услуги дистанционного обслуживания). Это позволяет получить доступ к функциям дистанционного управления.
Практически неограниченные возможности
Уязвимости предоставляют хакерам практически неограниченные возможности: они могут похищать персональные данные, отслеживать местонахождение гаджетов, включать микрофоны для записи разговоров и многое другое.
Примечательно, что в операционной системе Android нет возможности способа аннулировать сертификаты, которые дают приложениям mRST привилегированные права доступа. Без необходимых патчей или других инструментов устройство является уязвимым со дня выпуска, рассказали в Check Point.
Сотни миллионов Android-устройств содержат новую группу уязвимостей
Процесс обновления может затянуться
Компания уведомила об обнаружении Certifi-gate всех заинтересованных поставщиков, которые приступили к выпуску патчей. Эту уязвимость нельзя устранить, для решения проблемы необходимо провести обновление, при котором на устройстве устанавливается новая версия ПО, однако этот процесс может занять много времени. Android также не предложил никаких вариантов отзыва сертификатов, использованных для подписи уязвимых плагинов, отметили в компании.
«Ежедневно люди по всему миру пользуются мобильными устройствами для решения важных вопросов: они просматривают корпоративную почту, проверяют банковские счета и отслеживают информацию о здоровье, — прокомментировала Дорит Дор, вице-президент по продуктам Check Point Software Technologies. — Проблема в том, что они редко задумываются, находятся ли их данные в безопасности. Этой уязвимостью очень легко воспользоваться, что может привести к потере или незаконному распространению персональных данных пользователей. Наступило время, когда нужно начать принимать всерьез безопасность мобильных устройств».
Превращение Android в «кирпичи»
В июле 2015 г. компания Trend Micro обнаружила уязвимость в Android, позволяющая злоумышленникам превратить смартфон или планшет в «кирпич» — устройство, которым невозможно пользоваться. После проведения атаки на гаджет его экран перестает реагировать на нажатия, устройство перестает издавать звуки, пользователь не может принять или совершить звонок.
950 млн Android-устройств
В июле нынешнего года специалисты Zimperium Mobile Security сообщили об обнаружении в Android уязвимости, позволяющей взламывать устройства, просто отправляя на них вредоносные MMS-сообщения. При этом пользователю его даже не нужно открывать. Эксперты подсчитали, что уязвимость содержится примерно в 950 млн устройств на платформе от Google, то есть около 95% от общего числа.