Приложение AirDroid для удалённого администрирования устройств от разработчика Sand Studio в настоящее время является одним из самых популярных в магазине Google Play Store в своей категории, статистика показывает количество скачиваний между 10 и 50 млн. Однако популярность не означает безопасность, в чём ещё раз можно убедиться на данном примере.
Компания Zimperium обнаружила в AirDroid уязвимость, которая подвергает пользовательские данные риску при проведении кибератак. В число этих данных входят хранящиеся на устройствах имена пользователей и пароли. Разработчики приложения знают о существовании бага и не торопятся закрывать его.
Специалисты говорят о нескольких проблемах в AirDroid, которые позволяют хакерам из той же сети проводить атаки типа «человек посередине» и перехватывать отправляемую приложением информацию, включая запросы на обновление. Это возможно по причине использования AirDroid небезопасных каналов связи; запросы зашифрованы при помощи DES (режим ECB), ключ шифрования жестко запрограммирован внутри приложения.
При атаке «человек посередине» злоумышленники могут распространять на устройствах вредоносные файлы APK и получать полный доступ к аппаратам. Это открывает всю хранящуюся на них информацию, включая адрес электронной почты, пароли и данные кредитных карт.
В Zimperium говорят, что разработчики впервые были проинформированы о наличии бага 24 мая и через 6 дней официально признали существование проблемы. Несмотря на это, патча до сих пор не появилось, зато 7 сентября и 28 ноября появились версии приложения AirDroid 4.0.0 и 4.0.1 с этой же уязвимостью. 1 декабря Zimperium опубликовала все данные о ней. Для пользователей вариантами защиты является использование специального программного обеспечения для блокировки подобных атак или удаление AirDroid. Такие атаки обычно происходят при использовании публичных сетей Wi-Fi.
В Sand Studio решили начать работу над патчем только после публичного релиза информации об уязвимости, а предыдущее бездействие списывают на «непонимание в процессе общения с представителями Zimperium». Патч обещают выпустить в течение двух недель.