Logo ru.androidermagazine.com
Logo ru.androidermagazine.com

Приложение Airdroid уязвимо для атак «человек посередине» [обновление: исправлено и улучшено]

Anonim

Обновление, 9 декабря: Бетти Чен (Betty Chen), директор по маркетингу AirDroid, обратилась к Android Central с последними сведениями о работе команды над устранением уязвимости. Смотрите ответ ниже:

Мы только что завершили поэтапное развертывание AirDroid (Mobile 4.0.0.3; Mac / Win 3.3.5.3) в Google Play Store, теперь оно доступно для всех пользователей. В этом обновлении мы улучшили наш механизм шифрования, как и планировалось, и устранили проблему, касающуюся недавней озабоченности по поводу безопасности AirDroid.

Проблема исправлена ​​в обновлении.

Наряду с другими улучшениями безопасности, мы обновили каналы связи до https и улучшили метод шифрования.

Из-за кроссплатформенности AirDroid нам потребовалось некоторое время, чтобы разработать индивидуальное решение и повысить уровень безопасности во всех аспектах. Мы внедрили систему кодирования реструктуризации в AirDroid4.0 и AirDroid 4.0.0.1, чтобы убедиться, что совместимость прекрасно работает на разных платформах в конце ноября. После тщательной оценки мы начали частично развертывать это обновление ранее в этом месяце среди клиентов, чтобы обеспечить нормальное взаимодействие. Теперь мы можем наконец выпустить это обновление полностью, чтобы исправить возникшую проблему, а также обеспечить лучшую защиту наших пользователей.

Исследования, проведенные компанией Zimperium в области безопасности, показали, что популярное приложение для удаленного управления AirDroid уязвимо для так называемых атак типа «человек посередине», в результате чего телефоны пользователей остаются открытыми для кражи данных или, в худшем случае, для взлома устройства из-за взлома. обновить файл.

Согласно Zimperium, злоумышленник в той же сети, что и предполагаемая жертва, может перехватить данные аутентификации и выдать себя за пользователя, позволяя раскрыть личные данные - такие как SMS, звонки, уведомления или контактные данные.

Серьезно, механизм, с помощью которого обновляется приложение, также может быть взломан таким же образом, что подвергает пользователей AirDroid риску взлома всего их устройства из-за вредоносного файла APK. Охранная фирма имеет полное подтверждение концепции на своем сайте, а также подробную информацию о том, как она раскрыла уязвимости для разработчика Sand Studio, начиная с мая 2016 года.

Zimperium говорит, что недавно выпущенные AirDroid 4.0.0 и 4.0.1 остаются уязвимыми к той же самой уязвимости. Мы обратились к Sand Studio за комментариями, и мы обновим этот пост любым ответом. Тем временем, если вы являетесь пользователем AirDroid, заботящимся о безопасности, вы можете подумать об удалении, пока не станет доступно исправление.

Вы можете скачать последнюю версию AirDroid для вашего устройства Android здесь. Последнюю версию настольного приложения можно загрузить с веб-сайта AirDroid. Если вы часто пользуетесь AirDroid, вам наверняка захочется загрузить эти критические обновления как можно скорее.