El equipo de investigadores de Check Point Software Technologies descubrió una serie de vulnerabilidades en el sistema operativo Android que denominaron Certifi-Gate. Estas vulnerabilidades están presentes en el esquema de autenticación utilizado por las Herramientas de Soporte Remoto (Remote Support Tools, RST por sus siglas en inglés).

Dichas herramientas son ampliamente utilizadas tanto por empresas manufactureras como por proveedores de servicio telefónico móvil, lo que se traduce en millones de dispositivos Android vulnerables.

Las herramientas RST, como TeamViewer, y los complementos desarrollados para interactuar con aplicaciones de terceros utilizan un esquema de verificación de certificados digitales que cuenta con varias fallas, las cuales a su vez permiten a aplicaciones aparentemente inofensivas hacer uso de los complementos disponibles para utilizar las herramientas RST, ganando así privilegios y funcionalidades que no están disponibles en la API normal de Android.  de esta forma, dichas aplicaciones son capaces de grabar todo lo que ocurre en pantalla.

Un elemento que quita el sueño a los investigadores de seguridad, además de la severidad de este conjunto de vulnerabilidades, es que distintas personas han encontrado el mismo problema trabajando de forma independiente. Christopher Fraser, desarrollador de aplicaciones de la compañía Invisibility Ltd establecida en Londres, consiguió identificar las fallas en el esquema de validación de certificados y explotó la vulnerabilidad para que su aplicación Recordable Activator fuera capaz de grabar todo lo que ocurre en la pantalla de los dispositivos Android.

Fraser identificó la vulnerabilidad utilizando el complemento de TeamViewer, distribuido de manera libre. La aplicación ya ha sido retirada de la Googe Playstore, aunque registró más de 3 millones de descargas y era ampliamente utilizada por videojugadores que deseaban grabar lo que hacían en juegos como Minecraft.

Si bien esta aplicación no fue lanzada con fines maliciosos es una muestra de cómo cualquier desarrollador es capaz de explotar la vulnerabilidad a pesar de los controles de seguridad implementados por Google para combatir las aplicaciones maliciosas. Además es un claro ejemplo de cómo más de una persona puede encontrar las mismas fallas en componentes de software y explotarlas o reportarlas de manera indiscriminada.

Los investigadores de Checkpoint identificaron las vulnerabilidades del Certifi-Gate y notificaron a Google meses antes de presentar sus hallazgos en una de las conferencias más importantes sobre temas de seguridad, Black Hat, sim embargo, un desarrollador de aplicaciones llegó a la misma conclusión y aprovechó la falla para desarrollar Recordable Activator.

Otro factor que incrementa la severidad de este Certifi-Gate es que cada empresa manufacturera debe lanzar una actualización de firmware para revocar los certificados utilizados para firmar los complementos viejos y vulnerables utilizados para utilizar las herramientas de soporte remoto. De acuerdo a los investigadores de Check Point, ninguna compañía manufacturera ha liberado una actualización que corrija este problema.

Finalmente, el equipo de desarrollo de Check Point publicó una aplicación para Android diseñada para identificar si el dispositivo en el que se instala es vulnerable o no.