Szerző: Hlács Ferenc

2016. december 2. 15:01

Milliókat fenyeget a féléves AirDroid sebezhetőség

Legalább 10 millió eszközön jelent támadási felületet az AirDroidban felfedezett biztonsági hiba. Noha az app fejlesztői május óta tudnak a sebezhetőségről, azt máig nem foltozták be.

Nem kellett sokat várni egy újabb komoly androidos sebezhetőségre a héten felbukkant Gooligan után, igaz ezúttal nem rendszerszintű biztonsági résről van szó. A Zimperium által felfedezett sebezhetőség a népszerű AirDroid alkalmazáson tátong, vagyis nem fenyegeti a teljes platformot, ugyanakkor miután az app a Google Play Store adatai szerint 10-50 milliós telepített bázissal rendelkezik, így is tömegeket sodor veszélybe.

Aki nem ismerné az szoftvert, az egyik legnépszerűbb androidos távoli menedzsment alkalmazásról van szó. Az AirDroiddal Windowst vagy macOS-t futtató gépről is vezérlehetők az androidos eszközök, a számítógépre továbbíthatók azok értesítései, távolról használható a készülékek kamerája, sőt APK fájlok telepítésére és exportálására is lehetőség van segítségével. A felsorolt funkciók illetéktelen kezekben értelemszerűen komoly károkat okozhatnak, a támadók érzékeny felhasználói információkhoz férhetnek hozzá, sőt kártevőt is telepíthetnek azzal  telefonokra.

Az alkalmazás fő problémáját a nem megfelelően védett kommunikációs csatornák jelentik: az egyes készülékek azonosításához az app a szerver felé DES titkosítással kommunikál - az annak feloldásához szükséges titkosítási kulcs ugyanakkor fixen megtalálható az alkalmazásban, így lényegében rendelkezésre áll a potenciális támadók számára. A kulcs birtokában egy rosszindulatú harmadik félnek már csak arra van szüksége, hogy ugyanazon Wi-Fi hálózaton legyen, mint a kiszemelt áldozat, és egy közbeékelődéses, más néven man-in-the-middle támadással megszerezze annak azonosítóit, amelyek titkosítását aztán könnyűszerrel feloldhatja. Ezután a támadó gond nélkül kiadhatja magát a telefon jogos tulajdonosának az AirDroid szerverei felé.

03:30
 

AirDroid Vulnerability

Még több videó

Pénteken rajtol a SYSADMINDAY!

Július 17-én délután üzemeltetői majális a szellős Duna-parton. Gyere Te is!

Pénteken rajtol a SYSADMINDAY! Július 17-én délután üzemeltetői majális a szellős Duna-parton. Gyere Te is!

A módszerrel akár rosszindulatú frissítések is kiküldhetők a készülékekre, amelyből a felhasználó csak egy az AirDroidtól kapott frissítési értesítést lát, utóbbit gyanútlanul engedélyezve pedig települhet is a potenciális malware az eszközre. Egy hasonló támadást a Zimperium szakártői demonstráltak is.

A sebezhetőséget a biztonsági szakértők még májusban jelezték az AirDroid fejlesztői felé, akik tudomásul vették a hibát. Az alkalmazás csapata ezután egészen szeptemberig hallgatott, figyelmen kívül hagyva a kutatók noszogatását, majd ősz elején jelezte, rövidesen kiad egy javított verziót az appból, amelyben orvosolja a sebezhetőséget. A szoftver november végén kapta meg a 4.0.0-s frissítést, pár napra rá  pedig a 4.0.1-es verziószámhoz is elért, ugyanakkor mindkét állítólagosan javított verzió sebezhető maradt.

A Zimperium ezután úgy döntött, nyilvánosan közzéteszi a hibát, amelynek részletes leírása elérhető a biztonsági cég oldalán. Amíg az AirDroid nem ad ki hivatalos - és működő - javítást a biztonsági résre, a felhasználóknak érdemes elkerülni az appot, vagy legalábbis csak olyan hálózatokon használni, amelyek egész biztosan megbízatók.

a címlapról

csak nevesítve

6

Biztonságosabb lesz a Google Meet

2020. július 14. 12:03

Bejelentkezés nélkül nem lehet majd meetingekhez csatlakozni az oktatási célú csomagokban.