Odinstaluj AirDroida: popularne narzędzie synchronizacji PC i smartfonu jest pełne luk
AirDroid jest jednym z najpopularniejszych narzędzi do łączeniakomputera osobistego i smartfona z Androidem – pozwala nawysyłanie i odbieranie na komputerze wiadomości tekstowych,wyświetlanie powiadomień na pulpicie, przenoszenie plików międzyurządzeniami… Wszystko to jest bardzo fajne i wygodne, tylko żeniestety bardzo groźne dla użytkownika. Badacze z zajmującej siębezpieczeństwem urządzeń mobilnych firmy Zimperium ujawnili luki wAirDroidzie, pozwalające napastnikom na kradzież danych, a nawetzdalne uruchomienie złośliwego kodu. Co więcej, producent programunie potrafi tych luk załatać.
Dzięki swojej funkcjonalności i ergonomii, AirDroid cieszy sięogromną popularnością – wg statystyk sklepu Play został pobranymiędzy 10 a 50 mln razy. Niestety przy jego tworzeniu popełnionopoważny błąd projektowy. Program wykorzystuje to samo żądanieHTTP do uwierzytelnienia urządzenia mobilnego i do wysyłaniastatystyk użytkowania. W teorii żądanie jest zaszyfrowane, tyle żekluczem, który został umieszczony w niezaszyfrowanej formie waplikacji, co oznacza, że każdy, kto dysponuje aplikacją,dysponuje też kluczem.
Pozwala to wszystkim użytkownikom korzystającym z tej samejsieci (np. w pracy, w szkole, czy jakiejkolwiek innej instytucji) naprzeprowadzenie ataku man-in-the-middle – dysponując kluczemwydobytym z pliku APK, mogą pozyskać wrażliwe dane ofiary, w tymadres e-mail i hasło powiązane z kontem. To jednak nie wszystko,ponieważ tworząc własne proxy w sieci, można przechwycić żądaniasprawdzenia dostępności uaktualnienia AirDroida i wysłać w tensposób dowolny plik APK, który program przyjmie, proszącużytkownika o zaakceptowanie jego instalacji jako oficjalnejaktualizacji.
AirDroid Vulnerability
Gdyby Sand Studio, producent aplikacji, te błędy naprawił, wzasadzie nie byłoby o czym wspominać. Badacze Zimperium informująjednak, że o swoim odkryciu poinformowali producenta poufną drogą24 maja. Kilka dni później otrzymali potwierdzenie, że problemfaktycznie występuje i zostanie naprawiony. Nic się jednak w tejkwestii nie działo, dopiero w październiku otrzymali informację,że niebawem pojawi się nowa wersja AirDroida, oznaczona numerkiem4.0. Oprócz nowych funkcjonalności, przynieść miała załataneluki.
Niestety jednak nie przyniosła. Zimperium odkryło, że nawetnajnowsza wersja aplikacji, 4.0.1, jest podatna na atak. Siedemmiesięcy na naprawienie tak poważnej luki to sporo czasu, a skoronic do tej pory nie zrobiono, najwyższy czas na ostrzeżenieużytkowników. Ze szczegółami możecie zapoznać się we wpisieSimone Margaritelli na bloguZimperium.
Co robić i jak żyć?
W tej sytuacji jedyne, co możemy polecić, to natychmiastoweodinstalowanie AirDroida. Usunęliśmy ten program z naszej bazyoprogramowania. Dotychczasowym użytkownikom możemy polecić wzamian np. aplikację Pushbullet.
