ΑρχικήsecurityAirDroid app: το ελάττωμα που έδινε πλήρη έλεγχο σε χάκερς

AirDroid app: το ελάττωμα που έδινε πλήρη έλεγχο σε χάκερς

AirDroid

Το AirDroid, ένα δημοφιλές εργαλείο διαχείρισης για συσκευές Android, έχει διορθώσει ένα σοβαρό ελάττωμα λογισμικό ελέγχου ταυτότητας στο web-interface του, το οποίο θα μπορούσε να δώσει σε έναν χάκερ πλήρη έλεγχο ενός κινητού τηλεφώνου.

Το πρόβλημα διορθώθηκε σε μια ενημερωμένη έκδοση κυκλοφόρησε τον περασμένο μήνα, όπως αναφέρει ο Matt Bryant, σύμβουλος στην εταιρεία ασφαλείας Bishop Fox, ο οποίος ανακάλυψε το ελάττωμα. Οι εκδόσεις 3.0.4 και νωρίτερα του εργαλείου έχουν πληγεί.

Το ΑirDrοιd επιτρέπει στους χρήστες να διαχειρίζονται το τηλέφωνό τους από ένα Windows ή Mac tablet ή μέσω ενός web interface. Για να το κάνετε αυτό, απαιτούνται πολλά permissions, όπως η δυνατότητα να στείλετε μηνύματα κειμένου, να ενεργοποιήσετε την φωτογραφική μηχανή και πολλά άλλα.

Η Bishop Fox διαπίστωσε ότι θα μπορούσε να πλήξει μια συσκευή που τρέχει το ΑirDrοιd στέλνοντας απλά στον χρήστη ένα κακόβουλο link μέσω SMS, ο Bryant έγραψε.

Οι ευπαθείς εκδόσεις του ΑirDrοιd χρησιμοποιούν JavaScript Object Notation με padding, ή JSONP για να ζητήσουν δεδομένα από έναν server σε different domain. Οι Web browsers το απαγορεύουν συνήθως αυτό ως προληπτικό μέτρο ασφάλειας, γνωστή ως same-origin policy.

“Λόγω του ότι το JSONP είναι μια ανασφαλής μέθοδος ανταλλαγής δεδομένων, είναι δυνατόν να επισκιάσει το σύνολο όλων των λειτουργιών της εφαρμογής AirDroid,” έγραψε ο Bryant. “Με τον τρόπο αυτό, οι Android συσκευές άλλων χρηστών μπορούν να γίνουν hijacked.”

Μια επιτυχημένη επίθεση σημαίνει ότι ένας χάκερ θα έχει τον πλήρη έλεγχο σε μια συσκευή Android και θα μπορεί να δεί τις επαφές του τηλεφώνου, να παρακολουθεί τη συσκευή χρησιμοποιώντας το GPS και να μεταφέρει φωτογραφίες.

Ο Bryant δήλωσε πως η Bishop Fox έχει ελέγξει το ΑirDrοιd patch «και το βρήκε περισσότερο από επαρκές».

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS