Certifi-gate
Veel fabrikanten rusten hun toestellen uit met een speciale support-app. Deze app maakt het mogelijk, wanneer de gebruiker toestemming geeft, om mee te kijken op een toestel. Zo kunnen softwareproblemen op afstand worden opgelost en kunnen hardwareproblemen beter worden gediagnostiseerd. Deze apps bestaan meestal uit twee delen: een normale app met normale rechten en een plug-in met bijzondere rechten. Omdat het belangrijk is om veel informatie over het systeem te vergaren, worden deze plug-ins digitaal ondertekend met de handtekening van de fabrikant. Met deze handtekening krijgen de support-apps veel meer rechten dan een normale app.
Doordat de plug-ins met de app moeten communiceren, ontstaat er een mogelijkheid voor kwaadwillenden om hier tussen te gaan zitten. Standaard beveiligt Google de verbinding tussen de app en plug-in niet, maar doen de makers van de support-apps dat wel. Helaas blijkt deze beveiliging in een aantal gevallen niet voldoende.
‘Misbruik’ bij TeamViewer
De meestgebruikte app voor ondersteuning op afstand is TeamViewer. Deze app blijkt inderdaad een kwetsbaarheid te bevatten in de communicatie tussen app en plug-in. Een kwaadaardige app kan zo net doen alsof hij de TeamViewer-app is en zo rechten vergaren die eigenlijk alleen voor systeem-apps bedoeld zijn. In de praktijk komt dat er op neer dat alle data op het toestel kan worden uitgelezen en dat bijvoorbeeld ook de microfoon en camera ingeschakeld kunnen worden.
Soortgelijke problemen zijn ook te vinden bij andere ondersteuningsapps, zoals die van Rsupport en CommuniTake. Deze blijken ook betrekkelijk eenvoudig te kunnen worden misbruikt. Bij het lek in TeamViewer is er in ieder geval al één geval bekend van ‘misbruik’ van het lek. In het geval van de app ‘Recordable Activator’, een app waarmee je het scherm van je smartphone op kunt nemen, lijkt het redelijk onschuldig. De app lijkt geen kwaadaardige bedoelingen te hebben, maar is zelf volgens onderzoekers van Check Point ook slecht beveiligd, waardoor misbruik wel degelijk mogelijk is.
Google grijpt in
Google heeft de Recordable Activator per direct uit de Google Play Store verwijderd en het lijkt zeer waarschijnlijk dat Google ook actief apps gaat scannen op mogelijk misbruik van de lekken in TeamView, Rsupport en CommuniTake. De echte oplossing zal echter moeten liggen bij de fabrikanten: die zullen met een update moeten komen voor toestellen waarop kwetsbare plug-ins voorgeïnstalleerd staan. Volgens Check Point is dat op 15% van de toestellen in hun steekproef.
Het probleem is echter dat het niet goed duidelijk is wanneer een app een dergelijke plug-in bevat. De speciale rechten worden namelijk niet weergegeven in de Google Play Store, waardoor een app zonder dat je het in de gaten hebt een kwaadaardige plug-in zou kunnen bevatten. Het is daarom zaak dat fabrikanten hun toestellen snel updaten én dat Google hun malwarescanner voor de Google Play Store snel laat scannen op dergelijk misbruik. Nexus-toestellen zijn niet kwetsbaar voor het lek, omdat Google geen remote support-app meelevert.
Google, Samsung en LG hebben beloofd maandelijkse beveiligingsupdates uit te zullen brengen en het oplossen van problemen rondom deze support-tools lijken een goede kandidaat om meegenomen te worden bij de eerstvolgende software-update.
Via: Ars Technica
Reacties
Inloggen of registreren
om een reactie achter te laten
In ieder geval al bedankt om af en toe ook een artikel van ars technica te brengen.