В популярном приложении AirDroid найдена критическая уязвимость
Если вы пользуетесь популярным приложением для удалённого доступа к данным на мобильных устройствах AirDroid, то вам следует знать, что в нём обнаружена серьёзная уязвимость. Об этом сообщила компания Zimperium, специализирующаяся на мобильной безопасности. Напомним, что сервис AirDroid позволяет получить доступ и управлять смартфоном или планшетом на Android с компьютера на Windows или Mac, а также через Интернет. Также с его помощью можно отвечать на звонки, сообщения и уведомления прямо на экране компьютера.
Как выяснилось, связь между устройствами по AirDroid осуществляется по незащищённому каналу. Сами запросы зашифрованы, а вот ключ шифрования находится внутри приложения, поэтому злоумышленник может получить его и подключиться к каналу передачи данных.
Благодаря уязвимости, злоумышленник может выдавать себя за устройство жертвы, чтобы выполнить какие-либо HTTP- или HTTPS-запросы и удалённо запустить вредоносный код на чужом смартфоне или планшете. Когда AirDroid уведомит пользователя о доступности обновления для установки, приложение загрузит вредоносный apk-файл, указанный злоумышленником, а "жертва", ничего не подозревая, установит его на своё устройство. Это может иметь серьёзные последствия для тех, кто использует AirDroid через незащищённую сеть Wi-Fi.
Специалисты Zimperium отмечают, что AirDroid действительно использует защищённые конечные точки HTTP API, но они обнаружили другие незащищённые каналы, которые используются для выполнения определённых функций в приложении. Самое главное, компания уведомила разработчиков AirDroid об этой уязвимости ещё в мае, но они до сих пор не приняли никаких мер.
Источник: phandroid.com