Check Point-forskare: ”Certifi-gate kan skada hela mobilinfrastrukturen”
Ett av de senaste mobilhoten från cyberrymden är Certifi-gate, som Check Point upptäckte i somras. Vi frågade deras säkerhetsforskare Avi Bashan vad du som partner bör känna till.
Handen på hjärtat, hur stor koll har du på säkerheten hos dina kunders mobilenheter? Med tanke på hur snabbt cyberbrottslingarna jobbar är risken stor att du åtminstone har en och annan lucka. Ett av de senaste avslöjandena kring brister i Android-mobilers säkerhet fick benämningen Certifi-gate och handlar i princip om att appar kan få tillgång till användarens data och applikationer utan att hen märker det.
En undersökning från Check Point, som avslöjade bristen, visade att 9 av 10 Android-mobiler var drabbade. Vi frågade leverantörens säkerhetsforskare Avi Bashan vad det handlar om och hur man som partner ska förhålla sig.
Avi, vad är egentligen Certifi-gate?
– Det är brister i sättet som verifiering sker mellan mobile Remote Support Tool-appar och appar på systemnivå i en mobilenhet, förklarar han.
De här bristerna gör att elakartade applikationer kan ges obegränsad tillgång till en enhet, såväl användardata som exempelvis möjlighet att spela in det som händer pä skärmen.
Exakt hur utsatt en enhet är varierar mellan olika tillverkare, även om grundorsaken har att göra med hur Google har utformat funktionen i Android för hur verifiering av identiteten sker mellan appar, berättar Avi.
– Det här blev ett problem för tillverkare som utvecklade appar som kommunicerade med andra appar på enheten, och det visade sig att många utvecklare istället tog fram egna, felaktigt utformade verifieringsmekanismer, säger han.
I undersökningen som Check Point gjorde hittade de också appar i Googles appbutik Play som utnyttjar bristen. Att hålla sig till Google Play-appar är alltså ingen garanti för att man ska klara sig från Certifi-gate.
Så vad innebär det här för dig som partner? Avi påpekar inte oväntat att man till att börja med måste vara medveten om att det finns brister som utgör risker för mobilenheter. Och föga förvånande understryker han vikten av att jobba tillsammans med etablerade säkerhetsleverantörer.
– Man ska också vara medveten om att den här typen av brister kan skada inte bara enskilda användare utan också hela mobilinfrastrukturen i ett företag, säger han och tillägger att de har ett eget kostnadsfritt verktyg, Certifi-gate scanner, som kan användas för att upptäcka om en enhet har bristen och om det finns appar som utnyttjar den.
