LINUX.ORG.RU

Очередная критическая уязвимость в Android

 


1

2

Компания Check Point обнаружила очередную критическую уязвимость в Android под названием Certifi-Gate. Брешь позволяет получить контроль над удаленным устройством с помощью сертификатов безопасности приложений для дистанционной поддержки Remote Support Tool (mRST), которые обычно предустановлены на Android-устройствах.

Существует два основных способа эксплуатации уязвимости: с помощью текстового сообщения, либо с помощью манипуляций с инструментами поддержки. mRST имеет привилегии суперпользователя и позволяет получить полный контроль над устройством.

«Мобильные трояны для удаленного доступа (mRAT) предоставляют неавторизованный, незаметный доступ к мобильным устройствам. Атакующий может использовать mRAT для похищения конфиденциальной информации, такой как данные о местоположении, контакты, фотографии, скриншоты и даже записи звуков окружающей среды. В ходе анализа и классификации mRAT наша исследовательская команда обнаружила приложение, имеющие с этими троянами общие черты. В число известных поставщиков mRAT входят HackingTeam, mSpy и SpyBubble», — говорится в отчете компании.

Certifi-Gate связан с такими популярными приложениями, как TeamViewer, Rsupport, CommuniTake Remote Care.

>>> Подробности

★★★

Проверено: Shaman007 ()

уязвимость в Android

с такими популярными приложениями, как TeamViewer, Rsupport, CommuniTake Remote Care.

Вы уж определитесь.

anonymous ()

эксплуотации

эксплуатации

привелегии

привилегии

супервользователя

суперпользователя
Исправь, пока есть возможность.

Stahl ★★☆ ()

Не очень внятно написано, пугаться всем или только тем, кто поставил себе одно из таких приложений? Или тем, кто ставит левые аппы?

Valmont ★★★ ()

а нельзя нормально написать было?

Компания Check Point обнаружила очередную критическую уязвимость в Android под названием Certifi-Gate.

Обнаружила и назвала или сразу готовую нашла, с названием, документацией и поддержкой?

t184256 ★★★★★ ()
Последнее исправление: t184256 (всего исправлений: 1)

Аааааааааааааааааааааааааааааааааааааааааааааааа всё пропало! По заявлению наших диванных аналитиков ваще ВСЕ выпущенные аппараты на операционной системе андроед имеют в своём составе дыру - «Безопасность/Удаленное управление». Гугел сотни месяцев не выкладывает исправлений, известных способов исправления нет - помогает либо вдоль либо миграция на говно-виндавз © ™.

init_6 ★★★★★ ()

сертификатов безопасности приложений для дистанционной поддержки Remote Support Tool (mRST), которые обычно предустановлены на Android-устройствах.

Как узнать, установлено оно на моём китайце или нет?

proud_anon ★★★★★ ()

Сам пробовал читать текст по ссылке? В заголовке и тексте новости - враньё. Проблемы не в ОС, а в софте типа teamviewer. Про предустановленный софт - вообще бред.

Black_Shadow ★★★★★ ()

Они нашли проблемы с сертификатами в 4 приложениях для удалённого доступа:

TeamViewer
RSupport
AnySupport
CommuniTake

И что из этого предустанавливается производителями? И при чём здесь Android?

Black_Shadow ★★★★★ ()
Ответ на: комментарий от Valmont

Судя по всему, только тем, кто поставил.

Я почитал, что по ссылке написано в документе. Краткий пересказ:

Службам удаленного управления требуются системные привилегии, получить которые может только приложение, либо подписанное сертификатом OEM, либо установленное в специальном месте файловой системы. Обычное приложение из google play получить такие разрешения не может, поэтому происходит следующее.

Софт делится на 2 части, одна из которых (выполняющая привилегированные операции, условный «сервер») отдается на аудит и подпись производителю телефонов (Samsung/HTC/...). Те каким-то образом смотрят (или не смотрят, что совсем плохо) на код, и подписывают его своим OEM сертификатом, после чего эта часть кода может получить повышенные привилегии. Кстати, в Google Play эти привилегии никак не показываются, так что пользователь при установке думает, что эта служба вообще не требует специальных разрешений.

Дальше сервисы, предоставляемые подписанной частью кода, используются основным пакетом ПО. И тут надо как-то на стороне «сервера» (который имеет системные привилегии) проверять, обращается ли к нему его клиент или стороннее (шпионское) ПО.

В TeamViewer для этого просто сверяют серийный номер сертификата, которым подписано приложение-«клиент» (у каждого разработчика в Google Play есть свой такой) с зашитым в «сервере». Проблема в том, что серийный номер можно задать при создании сертификата, то есть злоумышленник имеет возможность создать свой «клиент», подписанный сертификатом с таким же серийником, и он успешно пройдет «валидацию» и получит доступ к привилегированным возможностям «сервера».

Про остальные не читал, но смысл примерно понятен.

Kiborg ★★★ ()

Shaman007, может надо сначала проверять то, что подтверждаешь?

Black_Shadow ★★★★★ ()
Ответ на: комментарий от Kiborg

Это решается обновлением ПО? Или удалением этого ПО из устройства?

I-Love-Microsoft ★★★★★ ()
Ответ на: комментарий от Kiborg

Спасибо! А то уже третью новость читаю на эту тему и нифига не понятно. А теперь понял.

true_admin ★★★★★ ()

Очередная

как же вы заеьали

smilessss ★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

Видимо, отключение подписанной службы или её удаление закрывают «уязвимость».

В тексте было упомянуто, что не все могут смотреть в завтрашний день список всех-всех установленных приложений и найти там среди кучи непонятно чего нужный пакет. Вообще это даже для продвинутого пользователя Android не так-то просто.

Kiborg ★★★ ()
Ответ на: комментарий от Black_Shadow

на смартфонах LG предустанавдивается, например.

Ты можешь кукарекать про сферический AOSPbв вакууме, но вот только пользователи его не видят.

fornlr ★★★★★ ()
Ответ на: комментарий от fornlr

Ну, так может, надо сразу корректно писать текст новости? А то сейчас в тексте бред какой-то. Может, LG и предустановила дырявый софт, это плохо, но от этого дыра не становится проблемой Android, как может показаться из прочтения новости.

Black_Shadow ★★★★★ ()
Последнее исправление: Black_Shadow (всего исправлений: 1)
Ответ на: комментарий от KennyMinigun

О! А я не знал. Век тролли — век учись:)

Stahl ★★☆ ()
Ответ на: комментарий от Black_Shadow

Да, это проблема ведроида как экосистеме, в которой вендоры засаживают крапварный софт, на которой нет секурных апдейтов, а прошивки от всяких пионеров образец глючности и сырости.

Users dont care

fornlr ★★★★★ ()
Ответ на: комментарий от Kiborg

Т.е. проверяется серийный номер сертификата, но не проверяется валидность сертификата? Ай красавчики!

MrClon ★★★★★ ()
Ответ на: комментарий от Kiborg

Кстати, в Google Play эти привилегии никак не показываются, так что пользователь при установке думает, что эта служба вообще не требует специальных разрешений.

норм, че.

loz ★★★★★ ()
Ответ на: комментарий от anonymous

1) большинство уязвимостей там являются номинальными, так как не имеют практической эксплуатации, либо быстро и оперативно чинится

2) какое отношение имеет iOS к песцу с секурностью на ведроиде непонятно, но ведроголовые постоянно пытаются там что-то отыскать, чтоб себя утешить.

fornlr ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

Нет, два раза нет, гуглплэй помойка, в этом проблема. Аудит кода очень слабый.

anonymous ()
Ответ на: комментарий от fornlr

Пока что ты утешаешь себя, думая что дыры в отдельном софте это проблема андроида. Гадь на других больше, может от тебя не так сильно будет вонять на их фоне.

anonymous ()
Ответ на: комментарий от anonymous

гуглплэй помойка, в этом проблема. Аудит кода очень слабый.

Там есть аудит кода? :O

melkor217 ★★★★★ ()
Ответ на: комментарий от anonymous

гуглплэй помойка, в этом проблема. Аудит кода очень слабый

Лолшто? Google изучает сорцы проприетарных программ?

I-Love-Microsoft ★★★★★ ()
Ответ на: комментарий от Stahl

проверно: shaman007

а может шаман сам ошибки вносит? ошибки в заапрувленых им новостях у уже как визитная карточка.

ckotinko ★★★ ()
Ответ на: комментарий от MrClon

Я еще немного почитал про остальных упомянутых.

RSupport не сильно лучше: сверяет хеш-сумму сертификата с заданным значением типа int (32 бита), что при некоторых усилиях со стороны взломщика тоже позволяет получить доступ. Что хуже, его сервис предустановлен на некоторых смартах LG.

CommuniTake из-за уязвимости типа «URL injection» позволяет заменить сервер CnC на любой другой путем отправки специально оформленного сообщения смс. Изначально предполагалось, что команда должна менять только поддомен, но вставка символа / приводит к тому, что формируется строка "http://www.evil.com/.communtiake.com".

Kiborg ★★★ ()
Ответ на: комментарий от t184256

Обнаружила и назвала или сразу готовую нашла, с названием, документацией и поддержкой?

И с багтрекером.

yacuken ★★★★ ()

И кто её исправит, я сомневаюсь, что все производители мобилок и планшетиков кинуться пилить патчи.

shayger ()
Ответ на: комментарий от Valmont

Прочитай оригинал. Там сказано, что:

1) В андройде есть фреймворк удаленной поддержки запускается с системными правами

2) В это фреймворк можно ставить приложения с плагинами, при этом пользователь об этом даже не узнает. Его о повышеных привилегиях не спрашивают и не предупреждают.

3) Эти плагины должны быть подписаны OEM партнерами, но партнеров много и подписывают они много чего даже не глядя.

4)Плагины могут иметь разные дыры в безопасности. В частности три плагина в приложениях с десятками миллионов загрузок дырявы.

Таким образом можно написать приложение «тетрис», засунуть в него плагин, подписать у ОЕМ партнера и подсунуть пользователю. Тот его ставит, рута ему не надо, прав приложение тоже не потребует. Или можно предложить ему поставить одно из трех рассмотренных в статье приложений с такими плагинами. Итог один - в системе появляется плагин. Дальше в зависимости от приложений, можно получить доступ к телефону жертвы через СМС или интернет.

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2

В андройде есть фреймворк удаленной поддержки запускается с системными правами

Цитату приведи, я такого не увидел.

В это фреймворк можно ставить приложения с плагинами, при этом пользователь об этом даже не узнает. Его о повышеных привилегиях не спрашивают и не предупреждают.

Такого в тексте тоже нет.

Black_Shadow ★★★★★ ()
Последнее исправление: Black_Shadow (всего исправлений: 1)
Ответ на: комментарий от shayger

Производителям нечего патчить. Это брешь by design. Пользователя не предупреждают о том, что в приложении ставится системный компонент.

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2

Производителям нечего патчить. Это брешь by design. Пользователя не предупреждают о том, что в приложении ставится системный компонент.

Системный компонент не ставится. Ставится приложение, подписанное производителем смартфона. При чём, ставится вручную (за исключением некоторых устройств LG).

Black_Shadow ★★★★★ ()
Ответ на: комментарий от Black_Shadow

Android has a set of ‘privileged’ permissions that can be obtained by privileged system apps only. These system apps can be one of the following: Apps signed by the OEM or Apps located under /system/priv-app folder.

To provide remote support capabilities, a Remote Support Tool (mRST) needs to provide as much data as possible from the device to the support screen remotely controlling the device. To do this, the mRST must obtain permissions granted to system apps only.

Ну и дальше пишется, что для простоты приложение делят на две части, плагин с системными правами, подписаный оем и само приложение.

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2

В менеджер обновлений Ондроеда ведь производитель обновления пихает, нет? А некоторые производители кладут болт на обновления.

shayger ()
Ответ на: комментарий от Black_Shadow

Системный компонент не ставится. Ставится приложение, подписанное производителем смартфона. При чём, ставится вручную (за исключением некоторых устройств LG).

В том- то и дело, что когда приложению нужен интернет, то пользователя спрашивают, если нужны смс или звонки - аналогично, даже красненьким выделяют, мол, опасно. А тут приложению нужны системные привилегии, но пользователь об этом даже не догадывается, потому что есть подпись ОЕМ...

AVL2 ★★★★★ ()
Ответ на: комментарий от shayger

На самом деле можно и нужно отозвать эти приложения с дырявыми системными сервисами. И следить за ними. Обновлять систему не обязательно.

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2

Где про фреймворк и про «встраивание» в него приложений без ведома пользователя?

Ещё раз. Производитель делит приложение на 2 части. Одна часть подписывается вендором, вторая - своим сертификатом. Ничего никуда не встраивается. mRST - не фреймворк, а общее название для приложений удалённого доступа.

Black_Shadow ★★★★★ ()
Ответ на: комментарий от Black_Shadow

Где про фреймворк и про «встраивание» в него приложений без ведома пользователя?

Без ведома пользователя встраивается системный компонент. Приложение, требующее системных привилегий.

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2

В том- то и дело, что когда приложению нужен интернет, то пользователя спрашивают, если нужны смс или звонки - аналогично, даже красненьким выделяют, мол, опасно. А тут приложению нужны системные привилегии, но пользователь об этом даже не догадывается, потому что есть подпись ОЕМ...

Это да, но, видимо, расчёт был на то, что приложение всё же будет проверено вендором. Но ещё раз, никакого фреймворка нет. Это не ошибка Android, просто для приложений, подписанных вендором, даётся больше возможностей. Вне зависимости, идёт ли приложение с прошивкой, или установлено из Play Market.

Black_Shadow ★★★★★ ()
Ответ на: комментарий от AVL2

Без ведома пользователя встраивается системный компонент. Приложение, требующее системных привилегий.

Системный компонент, и приложение, требующее системных привилегий - это, всё-же, разные вещи. Не находишь?

Black_Shadow ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.