Недостаток, о котором сперва сообщили в Black Hat конференция США в первых числах Августа, имел возможность разрешить атакующему принять устройство на базе Android.В Black Hat конференция по безопасности США 6 августа, исследователи в области безопасности от Контрольной точки публично заявили о новом недостатке Android названный «Certifi-логический-элемент». Сейчас, практически 20 дней спустя, Контрольная точка опубликовала статистику по влиянию недостатка, что имел возможность возможно разрешить атакующему принять устройство на базе Android.
Недостаток Certifi-логического-элемента – все о привилегированных сертификатах, применяемых поставщиками OEM для подписания удаленного инструмента помощи (mRST) приложения. Риск пребывает в том, что атакующий имел возможность возможно применять сертификаты поставщика OEM для получения привилегированного доступа на устройстве на базе Android.
В то время как о недостатке Certifi-логического-элемента сперва заявили, Контрольная точка также выпустила мобильный инструмент сканирования, что разрешает пользователям отсканировать устройства на базе Android, чтобы видеть, уязвимы ли они для неприятности Certifi-логического-элемента. Согласно Контрольной точке, с 6 августа до 19 августа, было примерно 100 000 логического приложения элемента и-загрузок-сканера. Примерно 30 000 человек, которые загрузили приложение, решили послать собственную данные анонимно в Контрольную точку.
Контрольная точка идентифицировала три уровня рисков, которые связаны с проблемой Certifi-логического-элемента. Самый низкий уровень – то, в случае если само устройство уязвимо для недостатка Certifi-логического-элемента: 42,09 процента устройств, как обнаружили, были уязвимы. Второй уровень – то, в случае если уязвимый mRST плагин практически устанавливается: 15,84 процентов отсканированных устройств пребывали в опасности.
Третий уровень – то, в случае если устройство находится в опасности, уязвимый mRST плагин устанавливается и существует стороннее приложение, которое применяет недостаток для получения поднятого доступа к устройству и его чувствительным ресурсам. Контрольная точка отыскала, что лишь 0,01 процента отсканированных устройств были идентифицированы как являющийся на наибольшем уровне риска.Ави Бэшен, фаворит разработок, Мобильное Обнаружение Угрозы, в Контрольной точке, растолковало, что уровень риска зависит от уровней уязвимости.
«Так, существует три устройства, которые практически поражают все возможности, до и включая то, чтобы быть затронутым поставщиком, устанавливая уязвимый плагин [и] устанавливая приложение, которое применяет уязвимость», сообщил Бэшен eWEEK. «У других имеется меньший уровень риска, в силу того, что они поразили меньше параметров, которые будут вполне использованы».Три использованных устройства на всех повлияли при помощи Записываемого приложения Активатора, которое было сейчас удалено из склада Гугл Play.«Любая загрузка идентифицировала, что был установлен на невнедренном устройстве, применял уязвимость Certifi-логического-элемента чтобы получить полномочия записать экран», сообщил Бэшен.Тогда как неприятность Certifi-логического-элемента сейчас была публично известна в течение нескольких недель, Бэшен выделил, что недостаток требует больше, чем легко программное исправление на уровне Android.
«Google обязан поменять собственную политику аутентификации, что есть кодом части, вместе с тем и громадным процессом части и образованием с сообществом и разработчиком OEM», сообщил Бэшен. «Иначе говоря Гугл не может лишь устранить проблему, потому, что производители устройств применяли собственный личный сертификат для подписания уязвимых приложений».Бэшен сказал, что начиная от сегодня, не было никаких обновлений от производителей устройств для Certifi-логического-элемента. Он также подчернул, что даже с обновлениями поставщика, неприятность Certifi-логического-элемента не уходит не так долго осталось ждать, в силу того, что более ветхие уязвимые предположения плагина могут постоянно устанавливаться, потому, что они подписываются с сертификатом OEM, что не может быть отменен.«OEMs обязан устранить проблему, потому, что они должны отменить собственный личный сертификат и обновить устройства с полностью новым программным обеспечением – и вызывающие обновления было весьма тяжёлым для производителей сейчас», сообщил Бэшен.
Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.