Tilsynelatende legitim Android-app utnytter kjent sårbarhet

Installert av minst 100 000, men er trolig ikke ondsinnet.

Mange Android-enheter leveres med fjernsupport-teknologi som kan utnyttes av ondsinnede apper.
Mange Android-enheter leveres med fjernsupport-teknologi som kan utnyttes av ondsinnede apper. Bilde: Adam Berry/Getty Images/All Over Press
Harald BrombachHarald BrombachNyhetsleder
26. aug. 2015 - 09:34

Check Point kunngjorde i går at selskapet har funnet en relativt utbredt Android-applikasjon som utnytter en sårbarhet som sikkerhetsselskapet offentliggjorde for tre uker siden.

Sårbarheten kalles for Certifi-gate og skyldes usikre utgaver av fjernadministrasjonsverktøy som er installert av mobilleverandører eller -operatører for å tilby kundestøtte direkte på mobilskjermen. Dette omfatter i alle fall utgaver av verktøy som TeamViewer og CommuniTake Remote Care.

Bakgrunn:
Hullet kunne la hackere høre på samtaler og titte ut mobilkameraet

Full tilgang

De aktuelle utgavene av disse verktøyene inkluderer sertifikater som gir dem full tilgang til Android-systemet. Sårbarheten gjør det ifølge Check Point mulig for en angriper å installere ondsinnede applikasjoner som oppnår ubegrenset tilgang til enheten, uten at brukeren merker noe til dette.

Selve sårbarheten finnes i autentiseringsmetodene mellom de aktuelle appene og en slags plugin på systemnivå på enheten.

Ved utnytte sårbarheten, kan apper omgå tillatelsessystemet i Android og oppnå tilgang til blant annet å ta skjermbilder, noe som til vanlig er forbehold innebygde Android-funksjoner eller apper med root-tilgang.

Les også: Må sende ut ny sikkerhetsfiks til Android

Kan oppdages

Check Point har gitt ut et eget verktøy, Certifi-gate Scanner, som kan fortelle om enheten er berørt av denne sårbarheten. Verktøyet kan sende anonymiserte data til Check Point. Basert på disse dataene kan sikkerhetsselskapet nå fortelle at nærmere 16 prosent av enhetene som har blitt testet, har en slik sårbar plugin installert.

Det oppgis at 72,36 prosent av de testede enhetene fra LG er sårbare. Andelene er betydelig lavere blant enheter fra andre leverandører, men sårbare pluginer er også relativt utbredt på enheter fra Samsung og HTC, og et stort flertall av også disse enhetene oppgis å være sårbare dersom en sårbar plugin blir installert.

Det er mellom 50 000 og 100 000 som har installert skanneren til Check Point. Selskapet oppgir at minst tre av enhetene som har sendt selskapet anonyme data, har blitt aktivt utnyttet. Så langt har selskapet dog bare funnet én app som utnytter sårbarheten, Recordable Activator.

Leste du denne? Gjør Android-appene klare for «Marshmallow» 

Ikke skadelig med hensikt

Det litt oppsiktsvekkende ved denne appen, er at den egentlig framstår mer som et hack enn som skadevare. Recordable Activator er egentlig en støttekomponent til appen som heter EASY screen recorder NO ROOT.

Begge er utgitt av det britiske selskapet Invisibility Ltd og skal gjøre et enkelt for brukerne å gjøre opptak av mobilskjermen.

Ifølge Check Point tar Recordable Activator i bruk Quicksupport-pluginen til TeamViewer for å oppnå systemnivåtilgang. Til Check Point sier TeamViewer at selskapet ikke tillater at andre bruker selskapets kode på denne måten, og at Recordable Activator derfor krenker bruksrettighetene.

Les også: Utlyser dusør for Android-sårbarheter 

Kan utnyttes av skadevare

Check Points eksperter mener dessuten at Invisibility har gjort en dårlig jobb med å beskytte kommunikasjonen mellom Recordable Activator og andre apper. Det kreves angivelig ingen autentisering, og dermed kan kommunikasjonen med Recordable Activator-komponenten forfalskes. Det betyr at enhver ondsinnet app kan gjøre opptak av skjermen til enheten.

Invisibility innrømmer til en viss grad at ondsinnede apper kan utnytte pluginen, og selskapet anbefalte for noen dager siden at pluginen (altså Recordable Activator) avinstalleres dersom man ikke aktivt bruker den.

I mellomtiden har Google fjernet Recordable Activator fra Google Play. Men Invisibility tilbyr den fortsatt for nedlasting.

Her er nyhetene: Google viste fram Android M 

Løsning?

Problemet er ikke løst ved dette, fordi sårbarheten eksisterer fortsatt i de berørte enhetene. Brukerne kan til en viss grad forsøke å finne og avinstallere sårbare plugins, som kan hete noe sånt som «Remote support service» eller tilsvarende.

Men i mange tilfeller vil den eneste løsningen være at enhetsleverandøren gir ut en fastvareoppdatering til enheten.

Check Point har nederst på denne siden en del forslag til hva man bør gjøre dersom man tester enheten med selskapets skannerapp og den kommer med en advarsel.

Utilstrekkelig: Resetting av Android sletter ikke alle data 

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.