Certifi-Gate: Missbräuchliche App im Google Play Store entdeckt

Sicherheitsforscher präsentierten vor wenigen Wochen eine Schwachstelle, die Fernverwaltungs-Software wie Teamviewer betrifft. Im Nachgang fanden die Forscher eine App in Googles Play Store, die genau diese Schwäche ausnutzt.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 49 Beiträge
Android

(Bild: dpa, Andrea Warnecke)

Von
  • Uli Ries

Das Software-Unternehmen CheckPoint entdeckte die Certifi-Gate genannte Lücke und demonstrierte deren Effekt Anfang August im Rahmen der Sicherheitskonferenz Black Hat. Seinerzeit war weder klar, wie viele Geräte genau betroffen sind, noch ob es aktiven Missbrauch der Schwachstelle gab. Nachdem zirka 30.000 Scan-Resultate einer von CheckPoint gratis angebotenen Analyse-App ausgewertet wurden, kann das Unternehmen jetzt weitere Details vermelden.

Das Auswerten der von Geräte-Herstellern vorgelegten Stichproben lässt den Schluss zu, dass gut 42 Prozent der von Herstellern wie HTC, LG, Samsung und Sony gemeldeten Geräte nicht von Certifi-Gate betroffen sind. Weitere 42 Prozent sind zumindest von der Schwachstelle betroffen und auf 16 Prozent ist ein angreifbares Plug-in einer Fernverwaltungssoftware installiert. Lediglich auf 0,01 Prozent der untersuchten Endgeräte fand sich de facto eine bösartige App, die die Lücke missbraucht.

Aufschlüsselung der Gefährdungslage nach Smartphone-Hersteller.

(Bild: CheckPoint)

CheckPoint fand nach Auswerten der Scan-Ergebnisse mindestens eine App im Play Store, die genau das von den Forschern beschriebene Muster nutzte: Recordable Activator wurde zwischen 500.000 und 1.000.000 mal heruntergeladen, am 03. August zuletzt aufgefrischt und vor einigen Stunden von Google aus dem Play Store entfernt. Die App umging laut CheckPoint das Berechtigungsmodell von Android und griff per Zertifikat auf das Plug-in von Teamviewer zu, um so den Bildschirminhalt zu erfassen.

Der Analyse von CheckPoint zufolge lädt die App eine verwundbare Version des Teamviewer-Plug-ins vom Drittanbieter-Marketplace http://pool.apk.aptoide.com herunter. Anwender müssen also zuvor den Download aus "Unbekannten Quellen" erlauben.

Recordable Activator wurde mindestens 500.000 mal aus dem Play Store heruntergeladen und nutzte die von den Forschern beschriebene Schwachstelle schon seit längerem aus.

(Bild: CheckPoint)

Ist das Plug-in einmal auf dem Gerät, könnten sich beliebige andere Apps damit verbinden und so Bildschirminhalte aufzeichnen – in diesem Fall dann auch ohne Wissen und Zutun des Anwenders. Der Zugriff auf das Plug-in sei laut Teamviewer ohne Wissen des Unternehmens passiert und auch nicht statthaft. Außerdem habe Teamviewer "mehrere Maßnahmen" eingeleitet, um die Sicherheit der Plug-ins zu erhöhen. Details hierzu machte der Anbieter nicht bekannt.

Ob es weitere Apps wie Recordable Activator im PlayStore gibt, konnte CheckPoint nicht sagen. Man habe den PlayStore "nicht komplett geprüft" und eventuell gebe es weitere Anwendungen, die weniger oft herunter geladen wurden als Recordable Activator.

Betroffenen Nutzern stünden laut CheckPoint je nach Gefährdung verschiedene Optionen offen: Wer ein gefährdetes Gerät besitzt, könne nach der Installation einer fragwürdigen App oder einer Anwendung mit der Remote-Control-Funktion durch die Gratis-App von CheckPoint prüfen lassen, ob Gefahr droht.

Ansonsten müsse man auf ein Firmware-Update des Geräteherstellers warten, um die problematischen Zertifikate vom Gerät zu entfernen. Bislang gebe es keine solchen Updates, obwohl CheckPoint die betroffenen Hersteller schon im April informiert habe.

Betroffene können probieren, das gefährdete Plug-in zu entfernen. Ist es jedoch schon vorinstalliert, gibt es wahrscheinlich keine Möglichkeit, es zu löschen.

(Bild: CheckPoint)

Wer ein gefährliches Plug-in auf dem Smartphone oder Tablet findet oder eine App wie Recordable Activator, könne das Plug-in unter Einstellungen/Apps vom Gerät entfernen. Im Fall eines vom Gerätehersteller vorinstallierten Plug-ins dürfte dies aber nicht möglich sein. Hier müsse man wieder auf ein Firmware-Update warten. (des)