Abo
  • Services:

Security: Erste App nutzt Android-Schwachstelle Certifi-Gate aus

In Googles Play Store wurde eine Applikation entdeckt, die die sogenannte Certifi-Gate-Schwachstelle ausnutzt, um unerlaubt erhöhte Zugriffsrechte unter Android zu erlangen. Die Entdecker der Schwachstelle haben eine erste Erhebung zur Verbreitung von Certifi-Gate veröffentlicht.

Artikel veröffentlicht am ,
Das IT-Sicherheitsunternehmen Checkpoint entdeckte einen ersten Missbrauch von Zertifikaten unter Android.
Das IT-Sicherheitsunternehmen Checkpoint entdeckte einen ersten Missbrauch von Zertifikaten unter Android. (Bild: Checkpoint)

Eine erste App ist aufgetaucht, die die Android-Schwachstelle namens Certifi-Gate ausnutzt, um sich unerlaubt erhöhte Zugriffsrechte zu verschaffen. Nach ihrer Entdeckung wurde die App sofort von Google gesperrt. Allerdings funktionieren die von Google implementierten automatischen Sicherheitschecks bei Certifi-Gate selten, da legitime Zertifikate genutzt werden. Deshalb könnten zahlreiche weitere Apps im Umlauf sein, die die Schwachstelle aktiv ausnutzen, warnt Checkpoint.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Die Schwachstelle liegt bei Remote-Control-Apps, die selbst legitime weitreichende Zugriffsrechte haben, da sie üblicherweise auch für die Fernwartung eines Geräts verwendet werden. Sie bestehen aus einem Backend mit ebensolchen Rechten und einem Frontend als Plugin, das meist die Benutzeroberfläche bereitstellt und Verbindungen nach außen verwaltet. Einige solcher Apps überprüfen aber nur unzureichend, welches Frontend auf das Backend zugreift. So könnten Angreifer ihr eigenes Frontend erstellen und mit dem Zertifikat des legitimen Backends Systemrechte erlangen.

Fehlerhafte Version nachgeladen

Betroffen waren unter anderem Teamviewer, Communitake Remote Care und Mobilesupport von Rsupport. Teamviewer bringt Zertifikate zahlreicher Hersteller mit, gilt deshalb im Play Store als vertrauenswürdig und darf mit weitreichenden Systemrechten agieren. Der Hersteller von Teamviewer hatte uns mitgeteilt, dass seine App bereits vor der ersten Veröffentlichung der Schwachstelle vor wenigen Wochen repariert wurde.

Die jetzt entdeckte Applikation, die Certifi-Gate ausnutzte, lud allerdings eine noch fehlerhafte Version von Teamviewer nach. Im Play Store versprach Recordable Activator das Abfilmen der Benutzeroberfläche ohne Root-Rechte, das normalen Apps nicht erlaubt ist. Bei der Installation schob Recordable Activator einen falschen Schlüssel unter, um sich dort zu legitimieren. Allein das verstößt gegen die Richtlinien des Play Stores. Darüber hinaus entdeckte Checkpoint, dass Recordable Activator die Kommunikation zwischen dem fehlerhaften Teamviewer-Backend und dem Frontend gar nicht abgesichert hat und deshalb von anderen Apps mitgelesen oder sogar übernommen werden kann.

Das Beispiel Recordable Activator zeige, wie gravierend die Certifi-Gate-Schwachstelle noch ist, heißt es in einem Blogeintrag. Sie erlaube es einer App, die komplette Kontrolle über ein Gerät zu erlangen und umgehe damit sämtliche Sicherheitsfunktionen unter Android. Viele Geräte bringen Remote-Control-Apps mit, die vom Provider vorinstalliert werden. Sie können nur mit einem Systemupdate repariert werden. Der aktuelle Fall zeige aber, dass auch Geräte weiterhin gefährdet sind, die keine vorinstallierten Apps mitbringen. Meist bleibt nur, die bisher verwendeten Zertifikate zu ersetzen. Da viele aber von Herstellern ausgestellt sind, dürfte das lange dauern, da diese auch in andren Bereichen verwendet werden. Ihnen sei bisher kein Fall bekannt, in dem Zertifikate erneuert worden sind, schreibt Checkpoint.

Checkpoint-App hilft bei der Analyse

Zudem dürfte es Google schwerfallen, seine automatisierten Sicherheitschecks für Google Play so anzupassen, dass fragwürdige Apps aufgespürt werden können, die Certifi-Gate ausnutzen. Besonders dann, wenn diese fahrlässigerweise noch fehlerhafte Versionen von Remote-Control-Apps nachladen.

Checkpoint stellt ein kostenloses Werkzeug zur Verfügung, mit dem nach der Certifigate-Lücke gescannt werden kann. Wer will, kann die erhobenen Daten an Checkpoint übermitteln. Unzureichend abgesicherte Remote-Control-Plugins sind bislang bei etwa 16 Prozent von 30.000 Geräten entdeckt worden. Besonders Geräte von LG seien gefährdet, da dort in mehr als 70 Prozent der Fälle bereits verwundbare Plugins vorinstalliert sind. Meist bleibt dem Nutzer jedoch nur die Möglichkeit, den Hersteller zu kontaktieren und um ein neues ROM zu bitten, in dem bereits verwundbare Zertifikate ersetzt werden. Die App soll jedoch auch bereits installierte Apps entdecken können, die die Schwachstelle ausnutzen und Hinweise geben, wie sie deinstalliert werden können. Trotz der jetzt im Play Store entdeckten App Recordable Activator bleibt der Rat: Applikationen sollten nur aus vertrauenswürdigen Quellen installiert werden.



Anzeige
Spiele-Angebote
  1. 13,49€
  2. 2,49€
  3. (-56%) 10,99€
  4. (-79%) 4,25€

Jasmin26 27. Aug 2015

trotz allem hat popkornium recht ! erstaunlich ist eh das man sich wegen dem Name...

Jasmin26 26. Aug 2015

zufällig gefunden wurde, nur das Zertifikat ist echt , eben nur "geliehen" ... das ist...

Anonymer Nutzer 26. Aug 2015

Auch da benötigt man entweder Rootrechte,oder das Programm muss als Administrator...


Folgen Sie uns
       


Golem.de besucht Pininfarina (Reportage)

Golem.de hat bei Pininfarina in Turin hinter die Kulissen geschaut und sich mit den Designern des Elektrosportwagens PF0 unterhalten.

Golem.de besucht Pininfarina (Reportage) Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Machine Learning: Wie Technik jede Stimme stehlen kann
    Machine Learning
    Wie Technik jede Stimme stehlen kann

    Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
    Ein Bericht von Felix Lill

    1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
    2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
    3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

    Requiem zur Cebit: Es war einmal die beste Messe
    Requiem zur Cebit
    Es war einmal die beste Messe

    Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
    Von Nico Ernst

    1. IT-Messe Die Cebit wird eingestellt

      •  /