Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Milliókat fenyeget a féléves AirDroid sebezhetőség

Hlács Ferenc, 2016. december 02. 15:01
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Legalább 10 millió eszközön jelent támadási felületet az AirDroidban felfedezett biztonsági hiba. Noha az app fejlesztői május óta tudnak a sebezhetőségről, azt máig nem foltozták be.

hirdetés

Nem kellett sokat várni egy újabb komoly androidos sebezhetőségre a héten felbukkant Gooligan után, igaz ezúttal nem rendszerszintű biztonsági résről van szó. A Zimperium által felfedezett sebezhetőség a népszerű AirDroid alkalmazáson tátong, vagyis nem fenyegeti a teljes platformot, ugyanakkor miután az app a Google Play Store adatai szerint 10-50 milliós telepített bázissal rendelkezik, így is tömegeket sodor veszélybe.

Aki nem ismerné az szoftvert, az egyik legnépszerűbb androidos távoli menedzsment alkalmazásról van szó. Az AirDroiddal Windowst vagy macOS-t futtató gépről is vezérlehetők az androidos eszközök, a számítógépre továbbíthatók azok értesítései, távolról használható a készülékek kamerája, sőt APK fájlok telepítésére és exportálására is lehetőség van segítségével. A felsorolt funkciók illetéktelen kezekben értelemszerűen komoly károkat okozhatnak, a támadók érzékeny felhasználói információkhoz férhetnek hozzá, sőt kártevőt is telepíthetnek azzal  telefonokra.

Az alkalmazás fő problémáját a nem megfelelően védett kommunikációs csatornák jelentik: az egyes készülékek azonosításához az app a szerver felé DES titkosítással kommunikál - az annak feloldásához szükséges titkosítási kulcs ugyanakkor fixen megtalálható az alkalmazásban, így lényegében rendelkezésre áll a potenciális támadók számára. A kulcs birtokában egy rosszindulatú harmadik félnek már csak arra van szüksége, hogy ugyanazon Wi-Fi hálózaton legyen, mint a kiszemelt áldozat, és egy közbeékelődéses, más néven man-in-the-middle támadással megszerezze annak azonosítóit, amelyek titkosítását aztán könnyűszerrel feloldhatja. Ezután a támadó gond nélkül kiadhatja magát a telefon jogos tulajdonosának az AirDroid szerverei felé.

A módszerrel akár rosszindulatú frissítések is kiküldhetők a készülékekre, amelyből a felhasználó csak egy az AirDroidtól kapott frissítési értesítést lát, utóbbit gyanútlanul engedélyezve pedig települhet is a potenciális malware az eszközre. Egy hasonló támadást a Zimperium szakártői demonstráltak is.

A sebezhetőséget a biztonsági szakértők még májusban jelezték az AirDroid fejlesztői felé, akik tudomásul vették a hibát. Az alkalmazás csapata ezután egészen szeptemberig hallgatott, figyelmen kívül hagyva a kutatók noszogatását, majd ősz elején jelezte, rövidesen kiad egy javított verziót az appból, amelyben orvosolja a sebezhetőséget. A szoftver november végén kapta meg a 4.0.0-s frissítést, pár napra rá  pedig a 4.0.1-es verziószámhoz is elért, ugyanakkor mindkét állítólagosan javított verzió sebezhető maradt.

A Zimperium ezután úgy döntött, nyilvánosan közzéteszi a hibát, amelynek részletes leírása elérhető a biztonsági cég oldalán. Amíg az AirDroid nem ad ki hivatalos - és működő - javítást a biztonsági résre, a felhasználóknak érdemes elkerülni az appot, vagy legalábbis csak olyan hálózatokon használni, amelyek egész biztosan megbízatók.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!