V populární aplikaci AirDroid bylo nalezeno několik bezpečnostních děr

v-aplikaci-airdroid-nalezeny-diry_ico

AirDroid je oblíbená aplikace pro vzdálenou správu a přístup k zařízení s operačním systémem Android. Kromě dalších funkcí umí například zobrazovat oznámení z telefonu na počítači, odesílat a přijímat zprávy a pracovat se soubory. Podle Obchodu Play si tento program nainstalovalo více než deset milionů uživatelů, kteří jsou s ní podle průměrné známky 4,5 evidentně spokojení. Bohužel měřítka užitečnosti a oblíbenosti nemusejí vždy poskytovat komplexní pohled. Aplikaci AirDroid totiž sužuje poměrně velký problém, který nyní vyplaval na povrch. A není to jeden problém.

Odborníci z bezpečnostní firmy Zimperium odhalili v aplikaci AirDroid řadu bezpečnostních problémů. 24 května na tento fakt upozornili vývojáře, kteří o několik dní později připomínky přijali. Bohužel i po půl roce, přestože byla vydána nová verze 4.0, jsou tyto bezpečnostní nedostatky v aplikací přítomny, proto se Zimperium rozhodlo o nich informovat.

V populární aplikaci AirDroid bylo nalezeno několik bezpečnostních děr V populární aplikaci AirDroid bylo nalezeno několik bezpečnostních děr

Kde jsou díry v aplikaci AirDroid?

V praxi může útočník, nacházející se ve stejné síti, zachytit požadavek na aktualizaci doplňku, a odeslat do zařízení škodlivý kód v podobě APK balíčku. Kromě toho může záškodník získat plný přístup k zařízení a vidět citlivá data, jako jsou e-mailové adresy a hesla. Experti zveřejnili zprávu na webových stránkách, kde uvádějí, že AirDroid používá nezabezpečené komunikační kanály k autentizaci zařízení vůči svým statistickým serverům. Síťové požadavky jsou šifrovány pomocí algoritmu DES, nicméně šifrovací klíč je napevno uvnitř aplikace, takže v podstatě každý, kdo má AirDroid, má stejný klíč. Útočník ze stejné sítě může spustit „man in the middle“ útok za účelem získání ověření a následné vydávání se za uživatele pro další požadavky.

Útočník pak může použít transparentní proxy, přes kterou AirDroid provede kontrolu aktualizace doplňků. AirDroid pak upozorní uživatele dostupnost updatu, ve finále se však nainstaluje podstrčený škodlivý balíček APK. Celý proces odborníci demonstrují na následujícím videu.

AirDroid Vulnerability

AirDroid Vulnerability

Největším problémem však není to, že v aplikaci existují bezpečnostní díry. To je přeci jen něco, co se může stát. Podstatně zásadnější je skutečnost, že je autoři ani po půl roce od upozornění neodstranili. Bezpečnost by přeci jen měla být pro každého vývojáře prioritou. Autoři nakonec pod tlakem médií vydali oficiální vyjádření, ve kterém slibují vydání aktualizace do dvou týdnů. Do té doby je doporučeno aplikaci AirDroid nepoužívat, nebo její používání alespoň omezit na zabezpečené sítě.

Co říkáte na tuto kauzu? Měli autoři aplikace AirDroid zareagovat pružněji na nahlášené chyby?

Zdroje: androidauthority.com, blog.airdroid.com, androidpolice.com.

Karel Kilián
O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi

Mohlo by vás zajímat

Komentáře (4)