La doar câteva zile după ce Google a pus la dispoziţie un patch pentru remedierea unei vulnerabilităţi care permite folosirea mesajelor text pentru a comanda pornirea de la distanţă a aplicaţiilor, dezvăluirea unei alte vulnerabilităţi cel puţin la fel de gravă pune din nou sub semnul întrebării securitatea platformei Android.
Intrând cu numele de scenă “Certifi-gate”, exploit-ul permite aplicaţiilor obişnuite de Android să obţină în mod abuziv drepturi de acces nelimitate asupra funcţiilor dispozitivului – privilegiu rezervat în mod normal doar aplicaţiilor pentru suport tehnic, autorizate prin includerea unui certificat digital care dovedeşte autenticitatea aplicaţiei.
Ocolind această barieră, atacatorii pot profita de aplicaţiile nesigure certificate de producători OEM şi operatori telcom pentru a obţine acces nerestricţionat asupra oricărui dispozitiv. Facilitând falsificarea certificatelor de securitate, exploit-ul Certifi-gate deschide calea pentru tot felul de abuzuri: furtul datelor personale, înregistrarea conversaţiilor şi chiar a sunetelor ambiante prin activarea de la distanţă a microfonului, înregistrarea coordonatelor GPS pentru aflarea locaţiei utilizatorului, înregistrarea apăsărilor de taste şi instalarea neautorizată a altor aplicaţii de tip back-door.
Vulnerabilitatea nou descoperită afectează sute de milioane de telefoane cu Android fabricate de LG, Samsung, HTC şi ZTE. Din păcate remedierea problemei nu este la fel de simplă ca în cazul exploit-ului Stagefright, fiind necesară crearea unui nou build de Android pentru fiecare dispozitiv vulnerabil. Mai complicată decât aplicarea unui simplu patch, testarea şi validarea unui nou build de Android poate dura câteva săptămâni sau chiar luni, timp în care dispozitivele afectate rămân vulnerabile.
Potrivit informaţiilor furnizate de Avi Bashan, cercetător al companiei de securitate Check Point, pentru remedierea exploit-ului care afectează inclusiv versiunea Android Lollipop este necesară actualizarea mai multor componente cheie ale sistemului de operare, precum şi plugin-urile mRST folosite pentru acordarea de suport tehnic.
În versiunea actuală, platforma Android nu oferă nici o modalitate pentru revocarea certificatelor de securitate folosite pentru obţinerea drepturilor de acces privilegiate, singura opţiune rămasă fiind actualizarea sistemului de operare. Între timp, o parte dintre furnizorii de plugin-uri mRST au lansat deja versiuni care remediază vulnerabilitatea semnalată, însă acestea trebuie să ajungă mai întâi la producătorii OEM pentru a fi incluse într-un nou build de Android. Timpul de aşteptare până la aplicarea actualizărilor variază de la un producător la altul şi în funcţie de vechimea dispozitivului. Din păcate, multe dintre telefoanele cu sistem Android de generaţie mai veche vor rămâne vulnerabile, lansarea unor noi actualizări software pentru acestea fiind puţin probabilă.