Затем возможности хакеров почти ничем не ограничены: похищение персональных данных, отслеживание местонахождения телефона, включение микрофона для записи разговоров, активизация любых остальных функций — всё это выполняется просто и сравнительно стремительно. Уполномоченные компании поведали об этом на последней конференции Black Hat с самого начала августа.
Проблема заключается в неправильной работе методов авторизации в приложениях Remote Support Tool (mRST), предназначенных для дистанционного обслуживания устройств, в их числе функция удаленного доступа к рабочему столу. Специалисты Check Point передали информацию об Certifi-gate всем заинтересованным организациям, которые уже работают над выходом пакетов обновлений.
Андроид не предоставляет возможности аннулировать сертификаты, дающие привилегированные права доступа. Без необходимых патчей либо иных инструментов устройство является уязвимым со дня выпуска.
Эксперты отмечают, что нужно отыскать уязвимость и рассмотреть ПО каждой версии на определенном устройстве, однако этот процесс может затянуться надолго. В Google, занимающейся разработкой андроид, способов отзыва сертификатов также пока не посоветовали. Проблема в том, что они не думают, находятся ли их данные в безопасности.
Сегодня компания представила новое решение по безопасности мобильных устройств Check Point Mobile Threat Prevention, с помощью которого организации сумеют противодействовать эволюционирующим мобильным угрозам и выявлять такие угрозы, как Certifi-gate, вредные приложения, атаки вида Man-in-the-Middle и иные. Этой уязвимостью с легкостью могут пользоваться злоумышленники, что может привести к потере либо незаконному распространению персональных сведений пользователей. Дело в том, что не менее чем на миллионе устройств была найдена очередная уязвимость.
