Certifi-gate – очередная серьезная уязвимость Android-смартфонов

Certifi-gate – очередная серьезная уязвимость Android-смартфонов

Уязвимость ОС Android, получившая название Certifi-gate, позволяет приложениям незаконно получать привилегированные права доступа, которые обычно используются приложениями удаленной поддержки, предустановленными на устройстве производителем или пользователем.

Злоумышленники могут воспользоваться Certifi-gate для получения неограниченного доступа к устройству, что позволит им красть персональные данные, отслеживать местонахождение гаджетов, включать микрофоны для записи разговоров и многое другое.

Android не предлагает способа аннулировать сертификаты, которые дают привилегированные права доступа. Без необходимых патчей или других инструментов устройство является уязвимым с самого начала использования. Эту уязвимость нельзя устранить, для решения проблемы необходимо провести обновление, при котором на устройстве устанавливается новая версия ПО, однако этот процесс может занять много времени. Android также не предложил никаких вариантов отзыва сертификатов, использованных для подписи уязвимых плагинов.

Отметим, что уязвимость была обнаружена специалистами группы Check Point по исследованию мобильной безопасности, которые объявили об этом на одной из сессий конференции Black Hat USA 2015 6 августа 2015 года.

Компания Check Point уведомила об обнаружении Certifi-gate всех заинтересованных поставщиков, которые приступили к выпуску патчей. Пользователи Android могут проверить наличие уязвимости Certifi-gate на своем устройстве, скачав бесплатное сканирующее приложение Check Point на Google Play.