ثغرة بوابة Certifi في أداة دعم عن بُعد في Android يتم استغلالها بواسطة تطبيق شاشة تسجيل

تطبيق متاح في متجر Google Play حتى أمس استفاد لأشهر من الخلل في أداة دعم TeamViewer عن بعد للأندرويد من أجل تمكين تسجيل الشاشة على الأجهزة القديمة.

اكتشف مطور التطبيق الضعف بشكل مستقل عن باحثين أمنيين من شركة Check Point Software Technologies الذين قدموه في وقت سابق من هذا الشهر في مؤتمر Black Hat للأمان إلى جانب عيوب مشابهة في أجهزة التحكم عن بعد المتنقلة الأخرى أدوات الدعم.

قام الباحثون في Check Point بإصدار قضايا Certifi-gate لأنها تنبع من الفشل في التحقق من صحة الشهادات الرقمية بشكل صحيح العديد من تطبيقات الدعم عن بعد التي من المفترض أن تتواصل مع المكونات الإضافية المميزة المثبتة في النظام.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

الشركات التي تنشئ أدوات دعم عن بُعد لأجهزة Android ، مثل قام TeamViewer و Rsupport بإقناع مصنعي الأجهزة بالتوقيع على بعض مكونات البرامج الخاصة بهم مع شهادات OEM الخاصة بهم (الشركة المصنعة للمعدات الأصلية). هذا يعطي هذه المكونات ، والتي تعرف باسم المكونات الإضافية أو الإضافات ، وامتيازات مستوى النظام والوصول إلى وظائف قوية لا تتوفر عادة من خلال واجهات برمجة تطبيقات الروبوت (واجهات برمجة التطبيقات).

في بعض الحالات ، هذه الدعم عن بعد تأتي المكونات الإضافية مسبقة التحميل على الأجهزة ، ولكن يمكن تثبيتها أيضًا في وقت لاحق من Google Play. يقوم كل من TeamViewer و Rsupport بتوزيع إصدارات المكونات الإضافية الخاصة بهم للمصنعين الفرديين من خلال متجر تطبيقات Google.

يفترض أن المكونات الإضافية تسمح فقط لأدوات الدعم عن بعد الرسمية من شركات البرامج هذه بالوصول إلى وظائفها. ومع ذلك ، وبسبب العيوب في كيفية تنفيذ فحص الشهادة ، يمكن لأي تطبيق شرير لا يمتلك أذونات خاصة أن يتنكر كأداة رسمية ويسيطر على الأجهزة.

أخطر باحثو Check Point شركة Google وموردي الهواتف المتأثرين بأشهر قبل أن يتم الكشف عنها بشكل عام المشكلة. بعد عرضهم التقديمي في Black Hat ، قال ممثل Google في بيان أن الشركات المصنعة للمعدات الأصلية كانت تقدم تحديثات لحل المشكلة وأن الشركة لم تشهد أي محاولات استغلال.

وقال الممثل أيضًا إن Google تراقب باستمرار عن أي ضرر محتمل. التطبيقات من خلال خدمات Android مثل Verify Apps و SafetyNet ونصح المستخدمين بتنزيل التطبيقات من مصادر موثوقة مثل Google Play فقط.

كما أعلن برنامج TeamViewer أنه أصدر إصدارات مصححة لأداة الدعم عن بعد والمكون الإضافي قبل تقرير Check Point .

هذا هو السبب في أنه جاء مفاجأة لـ Check Point عندما عثرت الشركة مؤخرًا على تطبيق مشهور يسمى Activable Activator في Google Play يبدو أنه استفاد من خلل بوابة Certifi.

تم العثور على التطبيق بفضل أداة مجانية تم إصدارها بواسطة Check Point والتي تم استخدامها من قبل أكثر من 30،000 مستخدم Android لفحصها إذا كانت أجهزتهم معرضة لمشكلات بوابة Certifi. كشفت عمليات المسح التي تم تقديمها بشكل مجهول إلى Check Point أن ما يقرب من 15 في المائة من الأجهزة كان بها أداة مساعدة لدعم أدوات الدعم عن بُعد مثبتة. 42 في المائة كانوا معرضين من الناحية الفنية للخطر ، ولكن لم يتم تثبيت مكون إضافي بعد ؛ وقد تم استغلال 0.01٪ بالفعل.

تم تشغيل تقارير الاستغلال النشط في الغالب من خلال وجود تطبيق يسمى مسجل قابل للتسجيل على الأجهزة الممسوحة ضوئيًا ، كما قال الباحثون في Check Point في تقرير من المقرر إصداره يوم الثلاثاء.

قابلة للتسجيل كان المنشط ، الذي كان لا يزال موجودًا في Google Play يوم الاثنين ، ولكن تمت إزالته منذ ذلك الحين ، أكثر من 500000 عملية تثبيت. مكنت تطبيقًا آخر يسمى Recordable للسماح بتسجيل الشاشة ، وهي وظيفة لم تكن متوفرة من خلال واجهات برمجة تطبيقات Android القياسية قبل Android 5.0 (Lollipop).

وفقا لباحثين Check Point ، قام Activable Activator بتثبيت نسخة قديمة من برنامج TeamViewer المساعد على أجهزة المستخدمين ، ثم استغل عيب مصادقة Certifi-gate لإنشاء جسر بين Recordable و TeamViewer. كان البرنامج المساعد TeamViewer الأذونات اللازمة للوصول إلى شاشة الجهاز بسبب امتيازات النظام الخاص به.

أحد الجوانب المثيرة للاهتمام هو أن Activable Activator تم تحديثه آخر مرة في 3 أغسطس ، قبل العرض التقديمي العام لـ Check Point في Black Hat. هذا يشير إلى أن مطور التطبيق - شركة تدعى Invisibility Ltd - اكتشف المشكلة بشكل مستقل.

موقع دعم التطبيق ، recordable.mobi ، مسجل لرجل يدعى Christopher Fraser من لندن. تم الوصول إلى فريزر عبر البريد الإلكتروني يوم الاثنين ، وأكد أنه وجد خطأ في التحقق من صحة الشهادة في برنامج TeamViewer من تلقاء نفسه.

بدأ الاستفادة منه في تطبيقه في أبريل لأنه قدم بديلاً بسيطًا لطريقة قديمة وأكثر تعقيدًا تمكّن الشاشة التسجيل الذي ينطوي على توصيل الهاتف بجهاز كمبيوتر وتمكين تصحيح أخطاء USB.

"عندما نظرت إلى المكونات الإضافية الأخرى المتوفرة في غضون 10 دقائق ، لاحظت أن أيا منها لم ينفذ عملية التحقق من الشهادة بشكل صحيح ، وبالتالي سمح لتطبيقات الطرف الثالث باستخدامها ، "وقال فريزر الاثنين عبر البريد الإلكتروني. "كان برنامج TeamViewer قابلاً للتوزيع بحرية ، لذا استخدمت ذلك."

وفقًا لفريزر ، قام بإرسال بريد إلكتروني إلى مصنعي أجهزة Android في الماضي يسألون عما إذا كانوا راغبين في التوقيع على مكون إضافي خاص بهم ، مثلما فعلوا مع برنامج TeamViewer والموردين الآخرين ، "لم أكن أتلقى أي رد.

" أود حقاً أن أقوم بعمل ملحق آمن ومُنفذ بشكل صحيح لتسجيل الشاشة ، لكن في الوقت الحالي لا أستطيع الحصول على قدم في الباب. " Fraser ، تسجيل الشاشة هي وظيفة يرغب فيها الكثير من المستخدمين ، خاصةً على الأجهزة القديمة. تم تنزيل تطبيقه القابل للتسجيل على 3 ملايين مرة حتى الآن ، "في الغالب من قبل أشخاص يريدون تسجيل أسلوب اللعب في ألعاب مثل Minecraft."

لا يبدو أن تطبيق Activator Activator كان ضارًا بطبيعته ، ولكن وفقًا لنقطة التحقق كان هناك باحثون "لا يوجد أمن على خدمة المكونات الإضافية القابلة للتسجيل للتأكد من عدم تمكن الأطراف الثالثة من الاتصال بها" ، وبالتالي الوصول إلى برنامج TeamViewer الإضافي الضعيف.

ومع ذلك ، فليس من الواضح كم يضيف إلى المشكلة نظرًا لأن المهاجمين يمكنهم أيضًا توزيع إصدار قديم من المكون الإضافي TeamViewer بأنفسهم ثم استغلال مشكلة بوابة Certifi مباشرة ، تمامًا مثلما فعل Fraser في تطبيقه.

في الواقع ، يثبت هذا الحادث أنه حتى في حالة إصدار برنامج TeamViewer لإصدار ثابت وقال الباحثون في "شيك بوينت" في تقريرهم إن المهاجمين لا يزالون يغيرون الإصدارات القديمة. كما يُظهر أيضًا أن مثل هذه التطبيقات يمكن أن تكون موجودة في Google Play بالرغم من فحوصات الأمان من Google.

وفقًا لمايكل شاولوف ، رئيس إدارة منتجات الأجهزة المحمولة في Check Point ، أبلغت الشركة عن تقديم الطلب إلى Google يوم الخميس.

A Google وأكد ممثل عن طريق البريد الإلكتروني أن التطبيق قد تم تعليقه الاثنين.

على الرغم من بيان جوجل السابق أنه يراقب لمحاولات استغلال هذه المشكلة ، فشلت الشركة في الكشف عن المنشط القابل للتسجيل ، قال شاؤول. على الرغم من أن هذا التطبيق المعين ليس خبيثًا ، إلا أنه يستغل الخلل لتنفيذ حل تسجيلاً للشاشة. يؤدي هذا إلى ترك المستخدمين بدون ضمان عدم وجود أي تطبيقات ضارة في Google Play في الوقت الحالي والتي تفعل الشيء نفسه ؛ أو أنه لن يكون هناك أي شيء في المستقبل.

سيكون الإصلاح الحقيقي الوحيد هو أن يصدر مصنعو الهواتف تحديثات للبرامج الثابتة من شأنها إلغاء الشهادات المستخدمة للتوقيع على المكونات الإضافية للدعم عن بُعد القديمة والضعيفة ، وهم الباحثون في Check Point وقال في تقريرهم. "على حد علمنا اليوم ، لم يسلم أي جهاز تصميمات."

ويظن فريزر ، غير راضٍ عن تعليق تطبيقه ، أن هذه ليست مشكلة Google وتوقع أن تقوم الشركة بتنظيف الفوضى بعد الجهاز الشركات المصنعة التي قررت التوقيع على هذه المكونات الإضافية هي "شيء من المتوقع حدوثه".

وقال: "إذا كانت هناك زاوية لهذه القصة ، أود أن أراها أن مئات الآلاف من الأطفال يستخدمون المكونات الإضافية لتشغيل قنواتهم على YouTube ، ولا يمكنهم فعل أي شيء آخر". "لا تهتم Google لأنها تريد أن ينتقل الأشخاص إلى Android 5."