Szerző: Hlács Ferenc

2016. december 2. 15:01

Milliókat fenyeget a féléves AirDroid sebezhetőség

Legalább 10 millió eszközön jelent támadási felületet az AirDroidban felfedezett biztonsági hiba. Noha az app fejlesztői május óta tudnak a sebezhetőségről, azt máig nem foltozták be.

Nem kellett sokat várni egy újabb komoly androidos sebezhetőségre a héten felbukkant Gooligan után, igaz ezúttal nem rendszerszintű biztonsági résről van szó. A Zimperium által felfedezett sebezhetőség a népszerű AirDroid alkalmazáson tátong, vagyis nem fenyegeti a teljes platformot, ugyanakkor miután az app a Google Play Store adatai szerint 10-50 milliós telepített bázissal rendelkezik, így is tömegeket sodor veszélybe.

Aki nem ismerné az szoftvert, az egyik legnépszerűbb androidos távoli menedzsment alkalmazásról van szó. Az AirDroiddal Windowst vagy macOS-t futtató gépről is vezérlehetők az androidos eszközök, a számítógépre továbbíthatók azok értesítései, távolról használható a készülékek kamerája, sőt APK fájlok telepítésére és exportálására is lehetőség van segítségével. A felsorolt funkciók illetéktelen kezekben értelemszerűen komoly károkat okozhatnak, a támadók érzékeny felhasználói információkhoz férhetnek hozzá, sőt kártevőt is telepíthetnek azzal  telefonokra.

Az alkalmazás fő problémáját a nem megfelelően védett kommunikációs csatornák jelentik: az egyes készülékek azonosításához az app a szerver felé DES titkosítással kommunikál - az annak feloldásához szükséges titkosítási kulcs ugyanakkor fixen megtalálható az alkalmazásban, így lényegében rendelkezésre áll a potenciális támadók számára. A kulcs birtokában egy rosszindulatú harmadik félnek már csak arra van szüksége, hogy ugyanazon Wi-Fi hálózaton legyen, mint a kiszemelt áldozat, és egy közbeékelődéses, más néven man-in-the-middle támadással megszerezze annak azonosítóit, amelyek titkosítását aztán könnyűszerrel feloldhatja. Ezután a támadó gond nélkül kiadhatja magát a telefon jogos tulajdonosának az AirDroid szerverei felé.

03:30
 

AirDroid Vulnerability

Még több videó

Internetre kötött közművek: elsőre jó ötletnek tűnt (x)

Gyere el Ipar 4.0-val és annak IT-biztonsági aspektusaival foglalkozó foglalkozó meetupunkra.

Internetre kötött közművek: elsőre jó ötletnek tűnt (x) Gyere el Ipar 4.0-val és annak IT-biztonsági aspektusaival foglalkozó foglalkozó meetupunkra.

A módszerrel akár rosszindulatú frissítések is kiküldhetők a készülékekre, amelyből a felhasználó csak egy az AirDroidtól kapott frissítési értesítést lát, utóbbit gyanútlanul engedélyezve pedig települhet is a potenciális malware az eszközre. Egy hasonló támadást a Zimperium szakártői demonstráltak is.

A sebezhetőséget a biztonsági szakértők még májusban jelezték az AirDroid fejlesztői felé, akik tudomásul vették a hibát. Az alkalmazás csapata ezután egészen szeptemberig hallgatott, figyelmen kívül hagyva a kutatók noszogatását, majd ősz elején jelezte, rövidesen kiad egy javított verziót az appból, amelyben orvosolja a sebezhetőséget. A szoftver november végén kapta meg a 4.0.0-s frissítést, pár napra rá  pedig a 4.0.1-es verziószámhoz is elért, ugyanakkor mindkét állítólagosan javított verzió sebezhető maradt.

A Zimperium ezután úgy döntött, nyilvánosan közzéteszi a hibát, amelynek részletes leírása elérhető a biztonsági cég oldalán. Amíg az AirDroid nem ad ki hivatalos - és működő - javítást a biztonsági résre, a felhasználóknak érdemes elkerülni az appot, vagy legalábbis csak olyan hálózatokon használni, amelyek egész biztosan megbízatók.

A nyári leállás után, október 5-én és 7-én az Amazon felhőszolgáltatása és a microservicek témája köré épülő meetupokkal indul újra a HWSW free! meetup-sorozat.

a címlapról

Hirdetés

AWS és microservice meetupokkal kezdjük az őszt!

2021. szeptember 18. 18:49

A nyári leállás után, október 5-én és 7-én az Amazon felhőszolgáltatása és a microservicek témája köré épülő meetupokkal indul újra a HWSW free! meetup-sorozat.