Sicherheitsforscher präsentierten vor wenigen Wochen eine Schwachstelle, die Fernverwaltungs-Software wie Teamviewer betrifft. Im Nachgang fanden die Forscher eine App in Googles Play Store, die genau diese Schwäche ausnutzt.

Das Software-Unternehmen CheckPoint entdeckte die Certifi-Gate genannte Lücke und demonstrierte deren Effekt Anfang August im Rahmen der Sicherheitskonferenz Black Hat. Seinerzeit war weder klar, wie viele Geräte genau betroffen sind, noch ob es aktiven Missbrauch der Schwachstelle gab. Nachdem zirka 30.000 Scan-Resultate einer von CheckPoint gratis angebotenen Analyse-App ausgewertet wurden, kann das Unternehmen jetzt weitere Details vermelden.
Nicht viele Geräte direkt angreifbar

Das Auswerten der von Geräte-Herstellern vorgelegten Stichproben lässt den Schluss zu, dass gut 42 Prozent der von Herstellern wie HTC, LG, Samsung und Sony gemeldeten Geräte nicht von Certifi-Gate betroffen sind. Weitere 42 Prozent sind zumindest von der Schwachstelle betroffen und auf 16 Prozent ist ein angreifbares Plug-in einer Fernverwaltungssoftware installiert. Lediglich auf 0,01 Prozent der untersuchten Endgeräte fand sich de facto eine bösartige App, die die Lücke missbraucht.
Gefährliche App aus Google Play entfernt

CheckPoint fand nach Auswerten der Scan-Ergebnisse mindestens eine App im Play Store, die genau das von den Forschern beschriebene Muster nutzte: Recordable Activator wurde zwischen 500.000 und 1.000.000 mal heruntergeladen, am 03. August zuletzt aufgefrischt und vor einigen Stunden von Google aus dem Play Store entfernt. Die App umging laut CheckPoint das Berechtigungsmodell von Android und griff per Zertifikat auf das Plug-in von Teamviewer zu, um so den Bildschirminhalt zu erfassen.

Der Analyse von CheckPoint zufolge lädt die App eine verwundbare Version des Teamviewer-Plug-ins vom Drittanbieter-Marketplace http://pool.apk.aptoide.com herunter. Anwender müssen also zuvor den Download aus "Unbekannten Quellen" erlauben.
Ist das Plug-in einmal auf dem Gerät, könnten sich beliebige andere Apps damit verbinden und so Bildschirminhalte aufzeichnen – in diesem Fall dann auch ohne Wissen und Zutun des Anwenders. Der Zugriff auf das Plug-in sei laut Teamviewer ohne Wissen des Unternehmens passiert und auch nicht statthaft. Außerdem habe Teamviewer "mehrere Maßnahmen" eingeleitet, um die Sicherheit der Plug-ins zu erhöhen. Details hierzu machte der Anbieter nicht bekannt.

Ob es weitere Apps wie Recordable Activator im PlayStore gibt, konnte CheckPoint nicht sagen. Man habe den PlayStore "nicht komplett geprüft" und eventuell gebe es weitere Anwendungen, die weniger oft herunter geladen wurden als Recordable Activator.
Gefährliches Plug-in lässt sich nicht immer entfernen

Betroffenen Nutzern stünden laut CheckPoint je nach Gefährdung verschiedene Optionen offen: Wer ein gefährdetes Gerät besitzt, könne nach der Installation einer fragwürdigen App oder einer Anwendung mit Remote-Conrol-Funktion durch die Gratis-App von CheckPoint prüfen lassen, ob Gefahr droht.

Ansonsten müsse man auf ein Firmware-Update des Geräteherstellers warten, um die problematischen Zertifikate vom Gerät zu entfernen. Bislang gebe es keine solchen Updates, obwohl CheckPoint die betroffenen Hersteller schon im April informiert habe.
Wer ein gefährliches Plug-in auf dem Smartphone oder Tablet findet oder eine App wie Recordable Activator, könne das Plug-in unter Einstellungen/Apps vom Gerät entfernen. Im Fall eines vom Gerätehersteller vorinstallierten Plug-ins dürfte dies aber nicht möglich sein. Hier müsse man wieder auf ein Firmware-Update warten.

Gruß raffisworld