Milliókat fenyeget a féléves AirDroid sebezhetőség

Nem kellett sokat várni egy újabb komoly androidos sebezhetőségre a héten felbukkant Gooligan után, igaz ezúttal nem rendszerszintű biztonsági résről van szó. A Zimperium által felfedezett sebezhetőség a népszerű AirDroid alkalmazáson tátong, vagyis nem fenyegeti a teljes platformot, ugyanakkor miután az app a Google Play Store adatai szerint 10-50 milliós telepített bázissal rendelkezik, így is tömegeket sodor veszélybe.

Aki nem ismerné az szoftvert, az egyik legnépszerűbb androidos távoli menedzsment alkalmazásról van szó. Az AirDroiddal Windowst vagy macOS-t futtató gépről is vezérlehetők az androidos eszközök, a számítógépre továbbíthatók azok értesítései, távolról használható a készülékek kamerája, sőt APK fájlok telepítésére és exportálására is lehetőség van segítségével. A felsorolt funkciók illetéktelen kezekben értelemszerűen komoly károkat okozhatnak, a támadók érzékeny felhasználói információkhoz férhetnek hozzá, sőt kártevőt is telepíthetnek azzal  telefonokra.

Az alkalmazás fő problémáját a nem megfelelően védett kommunikációs csatornák jelentik: az egyes készülékek azonosításához az app a szerver felé DES titkosítással kommunikál - az annak feloldásához szükséges titkosítási kulcs ugyanakkor fixen megtalálható az alkalmazásban, így lényegében rendelkezésre áll a potenciális támadók számára. A kulcs birtokában egy rosszindulatú harmadik félnek már csak arra van szüksége, hogy ugyanazon Wi-Fi hálózaton legyen, mint a kiszemelt áldozat, és egy közbeékelődéses, más néven man-in-the-middle támadással megszerezze annak azonosítóit, amelyek titkosítását aztán könnyűszerrel feloldhatja. Ezután a támadó gond nélkül kiadhatja magát a telefon jogos tulajdonosának az AirDroid szerverei felé.

Így blokkold a karriered Golden handcuffs és társai: a 49. adásban összeszedtünk pár dolgot, amit IT szakemberként érdemes elkerülni.

A módszerrel akár rosszindulatú frissítések is kiküldhetők a készülékekre, amelyből a felhasználó csak egy az AirDroidtól kapott frissítési értesítést lát, utóbbit gyanútlanul engedélyezve pedig települhet is a potenciális malware az eszközre. Egy hasonló támadást a Zimperium szakártői demonstráltak is.

A sebezhetőséget a biztonsági szakértők még májusban jelezték az AirDroid fejlesztői felé, akik tudomásul vették a hibát. Az alkalmazás csapata ezután egészen szeptemberig hallgatott, figyelmen kívül hagyva a kutatók noszogatását, majd ősz elején jelezte, rövidesen kiad egy javított verziót az appból, amelyben orvosolja a sebezhetőséget. A szoftver november végén kapta meg a 4.0.0-s frissítést, pár napra rá  pedig a 4.0.1-es verziószámhoz is elért, ugyanakkor mindkét állítólagosan javított verzió sebezhető maradt.

A Zimperium ezután úgy döntött, nyilvánosan közzéteszi a hibát, amelynek részletes leírása elérhető a biztonsági cég oldalán. Amíg az AirDroid nem ad ki hivatalos - és működő - javítást a biztonsági résre, a felhasználóknak érdemes elkerülni az appot, vagy legalábbis csak olyan hálózatokon használni, amelyek egész biztosan megbízatók.