Популярний Android-додаток для дистанційного керування AirDroid вразливий до зломів

Якщо ви користувач Android, то, можливо, чули про AirDroid – додаток для дистанційного керування, який дозволяє бездротово підключатися до телефону або планшета на базі Android. Він вражаюче надійний: ви можете відповідати на текстові повідомлення безпосередньо з комп’ютера, відхиляти або відповідати на вхідні дзвінки, вимикати сповіщення від певних додатків і навіть передавати файли і фотографії простим натисканням і перетягуванням. Але він також страшенно вразливий для злому: за даними дослідницької фірми Zimperium, неприємна діра в безпеці зробила “десятки мільйонів” користувачів AirDroid вразливими для зловмисників, які викрадають дані.

Виною всьому – слабкий метод шифрування програми. У блозі, опублікованому в п’ятницю, Zimperium повідомила, що ключ AirDroid – цифровий пароль, що складається з комбінації цифр, букв і символів, – який він використовує для приховування конфіденційних оновлень і даних, є “статичним” і “легко виявленим”. І хоча AirDroid використовує стандартний для галузі протокол безпеки HTTPS для обробки більшості файлів, додаток передає важливі біти через незашифрований HTTP.

Це відкриває двері для досить кваліфікованого хакера для здійснення так званої атаки “людина посередині”: використання стороннього комп’ютера для того, щоб видавати себе за сервери AirDroid, доставляти шахрайські оновлення програми і переглядати конфіденційну інформацію. Таким чином хакери могли викрадати адреси електронної пошти та паролі, таємно встановлювати додатки або навіть замінювати легітимний додаток AirDroid шкідливою копією.

• Щойно придбали новий iPhone? Ось 12 порад та підказок, які допоможуть його освоїти
• Що таке Amazon Music: все, що потрібно знати
• Фотографічні стилі – найбільш недооцінена функція камери iPhone 14, яку ви не використовуєте

“Зловмисник, що знаходиться в тій же мережі, що і жертва, може використовувати цю вразливість, щоб отримати повний контроль над пристроєм”, – розповіла Ars Techica Симона Маргарітеллі, головний дослідник безпеки Zimperium. “Більше того, зловмисник зможе бачити конфіденційну інформацію користувача … Як тільки оновлення або підроблене оновлення встановлюється, програмне забезпечення автоматично запускає оновлений [файл програми для Android], навіть не перевіряючи, хто його створив”.

Компанія Zimperium повідомила про уразливість в AirDroid в травні, але вона залишається присутньою і в останньому великому випуску AirDroid – версії 4, випущеному в середині листопада. Наступний патч, версія 4.0.0.1, схоже, не усунув цей недолік. А San Studios, команда розробників AirDroid, досі не відповіла на звинувачення Zimperium.

У заяві, опублікованій в офіційному блозі AirDroid, Sand Studio заявила, що сподівається виправити помилку протягом двох тижнів.

Якщо ви активний користувач AirDroid, у вас відносно небагато варіантів.

Android обмежує ступінь, в якій шкідливі програми можуть змінювати файли вашого телефону, але AirDroid має більший доступ, ніж більшість. Він може здійснювати покупки додатків, а також отримувати доступ до контактів, текстових повідомлень, місцезнаходження пристрою, камери, мікрофона, фотографій, даних з’єднання Wi-Fi, ідентифікатора пристрою та інформації про дзвінки. А шкідливе оновлення, яке видає себе за легітимне, може запросити додаткові дозволи.

Віртуальна приватна мережа, або VPN, є потенційним, але недосконалим рішенням. VPN додають рівень безпеки до незашифрованих мереж, забезпечуючи певний захист від зловмисників. Ars Technica зазначає, що немає ніяких гарантій, що хакер не обійде його, використовуючи кептивний портал – таку веб-сторінку, яку готелі та авіакомпанії використовують для збору платіжної та реєстраційної інформації – для перенаправлення користувача VPN на скомпрометоване з’єднання.

Поки проблема не буде вирішена, вам краще використовувати AirDroid тільки в бездротових мережах, які ви знаєте і яким довіряєте. Якщо ви покладаєтесь на публічний Wi-Fi, вам краще вимкнути або видалити AirDroid, доки не буде виправлення.

Рекомендації редакції

• Як iPhone 14 Plus став одним з найбільших технологічних провалів 2022 року
• Як налаштувати новий телефон Samsung Galaxy як професіонал
• Apple може скасувати iPhone SE 4 в наступному році – і я радий
• Ця прихована функція iOS 16 перетворила мій iPhone в ідеальний гаджет для пошуку музики
• Забудьте про AirPods – ось чому я використовую навушники Samsung зі своїм iPhone

Source: digitaltrends.com