Hlavní navigace

Díra Certifi-gate je i v některých aplikacích na Google Play

Petr Krčmář

Chyba Certifi-gate (psali jsme v postřezích z bezpečnosti) se ukrývá v základní součásti Androidu – Remote Support Tool (mRST). Kvůli chybě v autorizaci je možné bez vědomí zneužít vzdálené ovládání zařízení a kompletně jej ovládnout.

Nyní se ukazuje, že problém stále existuje, protože tuto díru aktivně využívá několik aplikací na Google Play. Patří mezi ně například Recordable Activator, který dokáže uživateli zpřístupnit nahrávání obrazovky. Využití díry je v tomto případě záměrné a umožňuje aplikaci plnit její funkci. Neznamená to ale, že takto vybavená aplikace nemůže být zneužita k útoku.

Někteří tvůrci aplikací už u sebe problém opravili, například TeamViewer nabízel rozhraní, které přes něj dovolovalo mRST používat i dalším aplikacím. To už dnes neplatí. Obecně ale stále existuje řada zařízení, která záplatu na systémové úrovni neobsahují a už nikdy obsahovat nebudou.

Našli jste v článku chybu?