Certifi-gate, nuova vulnerabilità su Android

I ricercatori di CheckPoint hanno scoperto l’ennesima vulnerabilità su Android. Questa volta però non si tratta di una falla di sicurezza presente nel sistema operativo, ma di un bug individuato nelle app per il supporto remoto installate su molti dispositivi dal produttore o dagli operatori telefonici. I risultati della scoperta sono stati illustrati durante la conferenza Black Hat di Las Vegas.

I mobile Remote Support Tool (mRST) consentono di offrire agli utenti un’assistenza tecnica a distanza, replicando lo schermo dello smartphone o del tablet e simulando i tap sullo schermo da una console remota. La vulnerabilità, denominata Certifi-gate, potrebbe essere sfruttata per eseguire applicazioni sul dispositivo, elevando i privilegi di accesso ai dati e compiere diverse azioni all’insaputa del proprietario del device. Un malintenzionato potrebbe usare un falso certificato per effettuare l’accesso remoto con app di terze parti.

Il problema risiede nell’errata implementazione dei controlli di validazione utilizzati dalle app mRST. I componenti sono spesso preinstallati sui dispositivi o inclusi come parte del software realizzato dai produttori o dagli operatori telefonici. Ciò significa che il processo di patching è molto complicato e la rimozione dei componenti è quasi impossibile. Google ha chiarito che la vulnerabilità non è presente nella versione stock di Android. Fortunatamente, gli OEM hanno promesso la distribuzione di una patch in tempi brevi.

Come sempre, il suggerimento è quello di scaricare le app solo dal Google Play Store, evitando il side-loading. CheckPoint ha pubblicato il tool Certifi-gate Scannner che permette di verificare se un dispositivo è vulnerabile.