Специалисты из компании Check Point Software Technologies, занимающейся проблемами информационной безопасности, обнаружили группу уязвимостей под общим названием Certifi-gate, которая ставит под угрозу сотни миллионов Android-устройств. Используя эти уязвимости, хакеры могут получить полный доступ к устройствам и хранимой на них информации.
Как пишет CNews, проблема заключается в неправильной работе методов авторизации в приложениях класса Remote Support Tool (mRST), предназначенных для дистанционного обслуживания устройств, в том числе посредством функции удаленного рабочего стола. Подобные приложения входят в базовую прошивку сотен миллионов Android-устройств, выпускаемых такими крупными производителями, как LG, Samsung, HTC и ZTE.
Уязвимости Certifi-gate позволяют злоумышленнику обмануть систему и представиться в качестве официального поставщика услуги дистанционного обслуживания. В результате хакер получает доступ к функциям дистанционного управления устройством. Он может отслеживать его местоположение, похищать данные, записывать разговоры владельца и многое другое.
На руку преступникам играет тот факт, что в системе Android нет возможности аннулировать сертификаты, которые дают приложениям mRST привилегированные права доступа. Без необходимых патчей или других инструментов устройство является уязвимым со дня выпуска.
Представители Check Point Software Technologies уже уведомили всех заинтересованных поставщиков о результатах своих изысканий, и те приступили к выпуску патчей. Однако для устранения уязвимости необходимо установить исправленную версию ПО на каждое устройство, а этот процесс может занять немало времени.
Отметим, что это уже вторая серьезная уязвимость OC Android, обнаруженная за последнее время. В конце июля компания Zimperium сообщила, что более 950 миллионов смартфонов и планшетов на базе Android версий с 2.2 до 5.1 содержат критическую уязвимость, которая позволяет удаленному атакующему полностью скомпрометировать устройство незаметно для его владельца.