Security: Erste App nutzt Android-Schwachstelle Certifi-Gate aus
Eine erste App ist aufgetaucht, die die Android-Schwachstelle namens Certifi-Gate ausnutzt, um sich unerlaubt erhöhte Zugriffsrechte zu verschaffen. Nach ihrer Entdeckung wurde die App sofort von Google gesperrt. Allerdings funktionieren die von Google implementierten automatischen Sicherheitschecks bei Certifi-Gate selten, da legitime Zertifikate genutzt werden. Deshalb könnten zahlreiche weitere Apps im Umlauf sein, die die Schwachstelle aktiv ausnutzen, warnt Checkpoint(öffnet im neuen Fenster) .
Die Schwachstelle liegt bei Remote-Control-Apps, die selbst legitime weitreichende Zugriffsrechte haben, da sie üblicherweise auch für die Fernwartung eines Geräts verwendet werden. Sie bestehen aus einem Backend mit ebensolchen Rechten und einem Frontend als Plugin, das meist die Benutzeroberfläche bereitstellt und Verbindungen nach außen verwaltet. Einige solcher Apps überprüfen aber nur unzureichend, welches Frontend auf das Backend zugreift. So könnten Angreifer ihr eigenes Frontend erstellen und mit dem Zertifikat des legitimen Backends Systemrechte erlangen.
Fehlerhafte Version nachgeladen
Betroffen waren unter anderem Teamviewer, Communitake Remote Care und Mobilesupport von Rsupport. Teamviewer bringt Zertifikate zahlreicher Hersteller mit, gilt deshalb im Play Store als vertrauenswürdig und darf mit weitreichenden Systemrechten agieren. Der Hersteller von Teamviewer hatte uns mitgeteilt, dass seine App bereits vor der ersten Veröffentlichung der Schwachstelle vor wenigen Wochen repariert wurde.
Die jetzt entdeckte Applikation, die Certifi-Gate ausnutzte, lud allerdings eine noch fehlerhafte Version von Teamviewer nach. Im Play Store versprach Recordable Activator das Abfilmen der Benutzeroberfläche ohne Root-Rechte, das normalen Apps nicht erlaubt ist. Bei der Installation schob Recordable Activator einen falschen Schlüssel unter, um sich dort zu legitimieren. Allein das verstößt gegen die Richtlinien des Play Stores. Darüber hinaus entdeckte Checkpoint, dass Recordable Activator die Kommunikation zwischen dem fehlerhaften Teamviewer-Backend und dem Frontend gar nicht abgesichert hat und deshalb von anderen Apps mitgelesen oder sogar übernommen werden kann.
Das Beispiel Recordable Activator zeige, wie gravierend die Certifi-Gate-Schwachstelle noch ist, heißt es in einem Blogeintrag. Sie erlaube es einer App, die komplette Kontrolle über ein Gerät zu erlangen und umgehe damit sämtliche Sicherheitsfunktionen unter Android. Viele Geräte bringen Remote-Control-Apps mit, die vom Provider vorinstalliert werden. Sie können nur mit einem Systemupdate repariert werden. Der aktuelle Fall zeige aber, dass auch Geräte weiterhin gefährdet sind, die keine vorinstallierten Apps mitbringen. Meist bleibt nur, die bisher verwendeten Zertifikate zu ersetzen. Da viele aber von Herstellern ausgestellt sind, dürfte das lange dauern, da diese auch in andren Bereichen verwendet werden. Ihnen sei bisher kein Fall bekannt, in dem Zertifikate erneuert worden sind, schreibt Checkpoint.
Checkpoint-App hilft bei der Analyse
Zudem dürfte es Google schwerfallen, seine automatisierten Sicherheitschecks für Google Play so anzupassen, dass fragwürdige Apps aufgespürt werden können, die Certifi-Gate ausnutzen. Besonders dann, wenn diese fahrlässigerweise noch fehlerhafte Versionen von Remote-Control-Apps nachladen.
Checkpoint stellt ein kostenloses Werkzeug zur Verfügung, mit dem nach der Certifigate-Lücke gescannt werden kann. Wer will, kann die erhobenen Daten an Checkpoint übermitteln. Unzureichend abgesicherte Remote-Control-Plugins sind bislang bei etwa 16 Prozent von 30.000 Geräten entdeckt worden. Besonders Geräte von LG seien gefährdet, da dort in mehr als 70 Prozent der Fälle bereits verwundbare Plugins vorinstalliert sind. Meist bleibt dem Nutzer jedoch nur die Möglichkeit, den Hersteller zu kontaktieren und um ein neues ROM zu bitten, in dem bereits verwundbare Zertifikate ersetzt werden. Die App soll jedoch auch bereits installierte Apps entdecken können, die die Schwachstelle ausnutzen und Hinweise geben, wie sie deinstalliert werden können. Trotz der jetzt im Play Store entdeckten App Recordable Activator bleibt der Rat: Applikationen sollten nur aus vertrauenswürdigen Quellen installiert werden.