Sysbus
ArtikelMobile ComputingSecurity

Certifi-gate – Neue Statistiken, in the Wild-Exploit und Problembehebung

gg

Was den Schutz der Interaktion mit Teilkomponenten angeht, haben die Entwickler von “Recordable Activator” aus Sicht unseres Forscherteams keine gute Arbeit geleistet. Und die Kommunikation mit der “Recordable Activator”-Komponente kann ohne Authentifizierung gespooft werden, wodurch alle bösartigen Apps den Bildschirm des Geräts erfassen können.

Die “Recordable Activator”-App zeigt im Zusammenhang mit Certifi-gate folgende inhärente Probleme:

  1. Nicht privilegierte Anwendungen können eine Schwachstelle ausnutzen, um die vollständige Kontrolle über ein Gerät zu erlangen, ohne von Android Genehmigungen anfordern zu müssen.
  2. Auch nachdem TeamViewer seine offizielle Version in Ordnung gebracht hat, können Angreifer noch immer alte Versionen des Plug-ins für böswillige Handlungen missbrauchen.
  3. Mobilgeräte können sogar ausgenutzt werden, wenn kein gefährdetes Plug-in auf dem Gerät vorinstalliert war.
  4. Apps, die diese Schwachstellen ausnutzen können, findet man jetzt auf Google Play.
  5. Für Hersteller besteht die einzige Lösung darin, die betroffenen Geräte mit aktualisierten ROMs zu versorgen.

Tiefgreifende Analyse

Das Dienstprogramm enthält zwei Hauptkomponenten: die Recording-App (uk.org.invisibility.recordable oder uk.org.invisibility.recordablefree) und ein Recordable Plug-in (uk.org.invisibility.activator). Die eigentliche App unterstützt das Installieren des Plug-ins oder die Nutzung einer Root/adb-Shell, um die Bildschirmaufnahme mithilfe anderer Mittel zu ermöglichen. Entschließt sich der Nutzer, das Plug-in zu installieren, lädt das Plug-in, während es läuft, das TeamViewer Plug-in APK auf Basis des jeweiligen Zertifikats des Geräteherstellers herunter. Der Download erfolgt von http://pool.apk.aptoide.com, einem APK-Marketplace eines Drittanbieters. (Zu beachten ist, dass der Nutzer zum Installieren “Unbekannte Quellen” aktivieren muss.)

Abbildung 4: Recordable Activator-Ablauf
Abbildung 4: Recordable Activator-Ablauf

Das Recordable-Plug-in exportiert einen Dienst, der den TeamViewer Plug-in-Dienst “einhüllt”, und authentifiziert mit dem gespooften Zertifikatfeld. Danach verbindet sich die Recording-App mit dem Plug-in-Dienst von Recordable, der sich dann wiederum mit dem TeamViewer-Plug-in verbindet und dieses Verbindungsobjekt zur Recording-App zurückbringt. Von diesem Punkt aus kann die primäre Recording-App direkt mit dem TeamViewer-Plug-in kommunizieren. Der Recordable Plug-in-Dienst verfügt über keine Sicherheitsvorkehrung, die verhindert, dass Dritte sich mit ihm verbinden können. Der Recordable-Plug-in liefert nur eine Bildschirm-Erfassungs-Funktion.

Abbildung 5: Spoofing des TeamViewer-Zertifikats
Abbildung 5: Spoofing des TeamViewer-Zertifikats

Problembehebung

Folgende Empfehlungen können zusammengefasst werden, um die Folgen der Certifi-gate-Schwachstelle auf einem Gerät zu minimieren:

3E9091C1-A790-472E-897D-54728FFD317E

  1. Gefährdetes Gerät: Das Gerät ist gefährdet und man sollte sich an seinen Mobilfunkbetreiber oder Gerätehersteller wenden (Samsung, LG und weitere) und nachfragen, wann ein Patch oder Fix geliefert wird. Die Schwachstelle kann mithilfe eines neuen ROMs, das Zertifikate widerruft, mit denen alte, gefährdete Plug-ins signiert waren, vollständig beseitigt werden. Soweit heute bekannt, wurde von den Geräteherstellern kein Patch geliefert. Aktuell empfiehlt sich, nur vertrauenswürdige Apps herunterzuladen und nachdem Installieren fragwürdiger Apps, die Certifi-gate-Scanner-App auszuführen. Falls man aufgefordert wird, ein Plug-in für ein mobiles Remote-Support-Tool zu installieren, sollte man das Löschen der Installation erwägen.
  2. Gefährdetes Plug-in: Auf dem Endgerät ist bereits ein gefährdetes Plug-in installiert. In diesem Fall sollte man versuchen, das gefährdete Plug-in mithilfe folgender Schritte zu entfernen: Einstellungen –> Apps –> Gefährdetes Plug-in lokalisieren und anklicken –> Deinstallieren anklicken. Wurde das Plug-in auf dem Gerät vorinstalliert, hat man wahrscheinlich keine Möglichkeit, es zu deinstallieren. Dann muss man sich in diesem Fall an den Gerätehersteller wenden und nach einer Lösung fragen. Man sollte stets auf die Vertrauenswürdigkeit der heruntergeladenen Apps achten und nachdem Installieren fragwürdiger Apps die Certifi-gate Scanner-App ausführen.
  3. Beeinträchtigt: Auf dem Gerät ist bereits das gefährdete Plug-in installiert und es ist auch eine Drittanbieteranwendung vorhanden, die das Plug-in ausnutzt. In diesem Fall ergibt es Sinn zu versuchen, das gefährdete Plug-in mithilfe folgender Schritte zu entfernen: Einstellungen –> Apps –> Gefährdetes Plug-in lokalisieren und anklicken –> Deinstallieren anklicken. Danach: Versuchen, die beeinträchtigende App zu lokalisieren und deinstallieren. Wurde das Plug-in allerdings auf dem Gerät vorinstalliert, hat man wahrscheinlich keine Möglichkeit, es zu deinstallieren. Hier muss man sich an den Gerätehersteller wenden und nach einer Lösung fragen.

Ähnliche Beiträge:

  1. TeamViewer erweitert Remote Support auf zusätzliche Android-Geräte
  2. Neue Horizon Suite von Check Point
  3. Die Handbremse bei Flash-Systemen lösen
  4. Check Points Sandbox-Technologie übertrifft Zero-Day Malware-Blockraten

Das könnte dir auch gefallen

QNAP bringt mit QGenie 7-in-1-Pocket-NAS

gcg

Laut Trend Micro können wir im nächsten Jahr mit Fortschritten beim Abwehren von Cyberangriffen rechnen

gcg

Technologie-Klassiker sorgen auch heute noch für hohe Leistung und Qualität

gcg