Szerző: Hlács Ferenc

2016. december 2. 15:01

Milliókat fenyeget a féléves AirDroid sebezhetőség

Legalább 10 millió eszközön jelent támadási felületet az AirDroidban felfedezett biztonsági hiba. Noha az app fejlesztői május óta tudnak a sebezhetőségről, azt máig nem foltozták be.

Nem kellett sokat várni egy újabb komoly androidos sebezhetőségre a héten felbukkant Gooligan után, igaz ezúttal nem rendszerszintű biztonsági résről van szó. A Zimperium által felfedezett sebezhetőség a népszerű AirDroid alkalmazáson tátong, vagyis nem fenyegeti a teljes platformot, ugyanakkor miután az app a Google Play Store adatai szerint 10-50 milliós telepített bázissal rendelkezik, így is tömegeket sodor veszélybe.

Aki nem ismerné az szoftvert, az egyik legnépszerűbb androidos távoli menedzsment alkalmazásról van szó. Az AirDroiddal Windowst vagy macOS-t futtató gépről is vezérlehetők az androidos eszközök, a számítógépre továbbíthatók azok értesítései, távolról használható a készülékek kamerája, sőt APK fájlok telepítésére és exportálására is lehetőség van segítségével. A felsorolt funkciók illetéktelen kezekben értelemszerűen komoly károkat okozhatnak, a támadók érzékeny felhasználói információkhoz férhetnek hozzá, sőt kártevőt is telepíthetnek azzal  telefonokra.

Az alkalmazás fő problémáját a nem megfelelően védett kommunikációs csatornák jelentik: az egyes készülékek azonosításához az app a szerver felé DES titkosítással kommunikál - az annak feloldásához szükséges titkosítási kulcs ugyanakkor fixen megtalálható az alkalmazásban, így lényegében rendelkezésre áll a potenciális támadók számára. A kulcs birtokában egy rosszindulatú harmadik félnek már csak arra van szüksége, hogy ugyanazon Wi-Fi hálózaton legyen, mint a kiszemelt áldozat, és egy közbeékelődéses, más néven man-in-the-middle támadással megszerezze annak azonosítóit, amelyek titkosítását aztán könnyűszerrel feloldhatja. Ezután a támadó gond nélkül kiadhatja magát a telefon jogos tulajdonosának az AirDroid szerverei felé.

03:30
 

AirDroid Vulnerability

Még több videó

Miért nem beszélni AI tökéletesen magyart?

Milyen kihívásokat tartogat egy magyar nyelvi modell, például a PuliGPT fejlesztése?

Miért nem beszélni AI tökéletesen magyart? Milyen kihívásokat tartogat egy magyar nyelvi modell, például a PuliGPT fejlesztése?

A módszerrel akár rosszindulatú frissítések is kiküldhetők a készülékekre, amelyből a felhasználó csak egy az AirDroidtól kapott frissítési értesítést lát, utóbbit gyanútlanul engedélyezve pedig települhet is a potenciális malware az eszközre. Egy hasonló támadást a Zimperium szakártői demonstráltak is.

A sebezhetőséget a biztonsági szakértők még májusban jelezték az AirDroid fejlesztői felé, akik tudomásul vették a hibát. Az alkalmazás csapata ezután egészen szeptemberig hallgatott, figyelmen kívül hagyva a kutatók noszogatását, majd ősz elején jelezte, rövidesen kiad egy javított verziót az appból, amelyben orvosolja a sebezhetőséget. A szoftver november végén kapta meg a 4.0.0-s frissítést, pár napra rá  pedig a 4.0.1-es verziószámhoz is elért, ugyanakkor mindkét állítólagosan javított verzió sebezhető maradt.

A Zimperium ezután úgy döntött, nyilvánosan közzéteszi a hibát, amelynek részletes leírása elérhető a biztonsági cég oldalán. Amíg az AirDroid nem ad ki hivatalos - és működő - javítást a biztonsági résre, a felhasználóknak érdemes elkerülni az appot, vagy legalábbis csak olyan hálózatokon használni, amelyek egész biztosan megbízatók.

Nagyon széles az a skála, amin a állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról

fab

5

Chipgyártó nagyhatalommá válna India

2024. március 18. 12:39

A helyi politikai vezetés szerint van rá esély, hogy a következő néhány évben az ország bekerüljön az öt vezető ország közé.