В додатку AirDroid знайшли серйозну критичну уразливість

Якщо ви користуєтеся додатком AirDroid – саме час перестати це робити, вам слід знати, що в ньому виявлена серйозна уразливість. Мінімум останні шість місяців протокол обміну даними між веб-інтерфейсом управління Android-смартфоном і самим пристроєм надавав зловмисникам доступ до даних користувача і дозволяв їм виконувати код додатків. Про це повідомила компанія Zimperium, що спеціалізується на мобільній безпеці.

Нагадаємо, що сервіс AirDroid дозволяє отримувати доступ і керувати смартфоном або планшетом на Android з комп’ютера на Windows або Mac, а також через Інтернет. Також з його допомогою можна відповідати на дзвінки і повідомлення, що надійшли на девайс, прямо на екрані комп’ютера.

Як з’ясувалося, зв’язок між пристроями по AirDroid здійснюється по незахищеному каналу. Хакери, які знаходяться в тій же мережі, що і AirDroid, могли отримати унікальні ідентифікатори телефону (IMEI) і абонента (IMSI), моніторити дії і трафік користувача, запускати установку додатків.

Завдяки уразливості, зловмисник може видавати себе за пристрій жертви, щоб виконати будь-які HTTP- або HTTPS-запити і віддалено запустити шкідливий код на чужому смартфоні або планшеті. Коли AirDroid повідомить користувача про доступність оновлення для установки, додаток завантажить шкідливий apk-файл, вказаний зловмисником, а “жертва”, нічого не підозрюючи, встановить його на свій пристрій. Це може мати серйозні наслідки для тих, хто використовує AirDroid через незахищену мережу Wi-Fi.

Незважаючи на те, що розробники AirDroid дізналися про цю уразливість від Zimperium ще в травні, вони до цих пір її не усунули. Найновіша версія AirDroid все ще вразлива до хаку – а значить, від 10 до 50 мільйонів пристроїв схильні до небезпеки.

Джерело інформації: AndroidAuthority