Certifi-Gate: Unzählige Android-Geräte fernsteuerbar
Sicherheitsforscher haben Schwachstellen in Fernwartungs-Software, wie etwa Teamviewer, auf Android-Geräten gefunden, über die Angreifer Geräte aus der Ferne komplett übernehmen können.
- Uli Ries
Ohad Bobrov und Avi Bashan, beide bei Check Point beschäftigt, haben sich diverse Remote-Control-Anwendungen für Android vorgenommen und gravierende Schwachstellen in der Software von AnySupport, CommuniTake, RSupport und TeamViewer entdeckt.
Nach Auskunft der beiden Sicherheitsforscher wurden alle betroffenen App-Anbieter inklusive Google im April 2015 informiert. Nicht alle Hersteller haben bisher Patches für ihre verwundbaren Apps veröffentlicht. Die Forscher gehen derzeit von hunderten Millionen verwundbaren Smartphones und Tablets aus.
Einstiegspunkt für Angreifer
Die Fernwartungs-Anwendungen bestehen aus zwei Komponenten: der vom Anwender kontrollierbaren Haupt-App samt Nutzerschnittstelle und einem Plug-in, das von der Haupt-App gesteuert wird und die eigentlichen Fernwartungsfunktionen erfüllt.
Das Plug-in benötigt für seine Arbeit erhöhte Rechte auf dem Endgerät, die normalerweise den System-eigenen Apps vorbehalten sind. Diese Rechte, zu denen unter anderem das Installieren weiterer Apps oder das Abgreifen des Bildschirminhalts gehören, werden durch das Signieren des Plug-ins durch den Gerätehersteller gewährt.
Die Plug-ins kommunizieren per Binder (IPC) mit der Haupt-App und jeder App, die ein korrektes Zertifikat vorweisen kann. Wie die Forscher entdeckten, prüft beispielsweise Teamviewer lediglich die Seriennummer des Zertifikats, das die Haupt-App mitbringt. Diese Seriennummer ist fest im Sourcecode des Plug-ins hinterlegt.
Zertifikate unterjubeln
Da Android seit Version 4.3 auch selbst signierte Zertifikate akzeptiert, mussten die Sicherheitsforscher lediglich ein X.509-Zertifikat mit der passenden Seriennummer erzeugen. Anschließend pflanzten sie es einer unschuldig erscheinenden per Google Play Store verteilten App ein und konnten dann nach Installation dieser App aus der Ferne die Kontrolle über das fremde Endgerät übernehmen.
Das Plug-in von RSupport sei ähnlich leicht zu missbrauchen. Das Fatale dabei: Die Fernwartungs-Software ist auf auf diversen Smartphones von LG (unter anderem G4 und G3) sowie Samsung (Galaxy S5 und S4, je nach ROM) vorinstalliert. Da das Plug-in ohne Nutzerschnittstelle daherkommt, bekommt man als Gerätebesitzer gar nichts davon mit. Entfernbar ist es lediglich per Software-Update durch den Hersteller.
RSupport fragt nicht nach einer simplen Seriennummer, sondern dem Hashwert des Zertifikats. Da es in diesem Fall vier Milliarden verschiedene Hashes gibt (32-bit integer), erzeugten die Forscher per Skript solange Zertifikate, bis sie den passenden Hash hatten.
Problematisch sei laut Bobrov und Bashan, dass die Hersteller die betroffenen Zertifikate nicht einfach zurückrufen können, da diese noch von diversen anderen Apps verwendet werden, die dann allesamt nicht mehr funktionieren würden.
Angriff per SMS
Im Fall von CommuniTake, einer ebenfalls auf diversen Android-Geräten vorinstallierten Anwendung, lief der Angriff über die Haupt-App. Diese akzeptiert Kommandos zur Konfiguration der App per SMS. So haben die Forscher beispielsweise die Subdomain, die die App für Command & Control-Zwecke ansteuert, auf eine eigene URL geändert. Denn offenbar prüft die Software die URL nicht ausreichend. (des)
