In Las Vegas fand die letzten Tage die Sicherheitskonferenz Black Hat statt, bei der Experten Ihre Entdeckungen von Sicherheitslücken vorstellen. Entgegen des Titels verfolgt die Konferenz natürlich den White Hat-Ansatz und Hersteller werden im Vorfeld über die Sicherheitslecks informiert, um entsprechend noch vor der Bekanntgebung reagieren zu können. So war es auch bei dem neuesten Schlag ins Gesicht für Android-Nutzer, dem Certifi-Gate.
Angreifer können über eine eigene App die Fernsteuerung des Android-Smartphones übernehmen, sofern eine der betroffenen Remote-Apps installiert sind. Blöd nur, dass Smartphones von LG und Samsung diese Remote-Apps standardmäßig und sogar als nicht entfernbare System-Apps installiert haben.
Das Problem
Fernsteuerungs-Apps wie die Betroffenen von TeamViewer, RSupport, AnySupport und CommuniTake haben bestehen im Prinzip aus zwei Programmteilen: der eigentlichen App und einer Art Plug-In, dass erweiterte Rechte hat, um das Android-Tablet oder -Smartphone fernzusteuern, welches mit der Haupt-App kommuniziert. Seit Android 4.3 ist es möglich, dass zur Authentifizierung selbst signierte X.509-Zertifikate erlaubt sind.
Update 11.08.2015: TeamViewer teilte uns mit, dass die Sicherheitslücke bereits vor der Black Hat Konferenz gepatcht wurde.
Die Plug-Ins mit den Fernsteuerungs-Rechten prüfen also das selbst signierte Zertifikat der Haupt-App und erlauben dann den Zugriff. Doof nur, dass Angreifer dieses Zertifikat nachahmen können und so die eigene, bösartige App mit dem Zertifikat ausstatten können und wenn sie es geschafft haben mit ihrer bspw. kostenlosen Nacktscanner-App auf das Smartphone zu kommen, akzeptiert das Plugin dies ohne zu murren.
Samsung und LG Smartphones betroffen
Gerade die Remote-App von RSupport, die als System-App beim LG G3 und G4 sowie dem Samsung Galaxy S5 und S4 standardmäßig als System-App installiert ist, ist es besonders einfach das Zertifikat zu knacken. Die RSupport-App fragt nach dem Hashwert des selbst signierten Zertifikats, der ein 32-Bit Integer ist.
So gibt es also Vier Milliarden Kombinationen, um diesen Hashwert zu finden und das ist mit der heutigen Rechenleistung ein Klacks. Leider lassen sich die System-Apps nur vom Hersteller von Samsung und LG entfernen.
Die Zertifikate können auch leider nicht zurück gerufen werden, sondern es muss ein jeweiliges App-Update erfolgen.
Checkpoint mit Certifi-Gate Scanner-App
Das Sicherheitsunternehmen Checkpoint, dessen Analysten Bobrov und Bashan die Sicherheitslücke entdeckte haben, bietet selbst im Google Play Store eine Scanner-App an, um das Smartphone auf die betroffenen Certifi-Gate Apps zu überprüfen. Leider spuckt die App nicht aus, welche Remote-App deinstalliert werden soll, um wieder safe zu sein.
In einem kurzen Test hat der Scanner die neuesten Versionen von TeamViewer, AnySupport und CommuniTake nicht mehr bemängelt. Lediglich die auch als System-Apps eingesetze RSupport-App ist selbst noch mit der aktuellsten Version im Google Play Store betroffen.
Galaxy S4- und S5-Besitzer sowie LG G3- und G4-Nutzer müssen also leider darauf warten, bis dass Samsung und LG Electronics ein Firmware-Update für die Modelle rausbringen. Da das aber logistisch nicht mal eben getan ist, dürfte es noch ein Weilchen dauern. Bis dahin sollte man sich nicht jeder Scherz-App herunterladen und erst einmal nur den großen Software-Entwicklungsfirmen trauen.
Im Prinzip finde ich das gut, aber das Problem bei Fernsteuerungsapps ist das zwischenzeitlich immer wenn man gerade Fernsteuert, jemand anderes auch drauf zu greifen könnte. Aber ich denke das ist ein Problem was man nie beheben kann, ausser man macht eventuell eine E-Mail bestätigung oder sonstiges jedesmal wenn man verbinden möchte.