スマホ関連の海外ニュースです。
少なくとも過去 6 ヶ月間、公式の Google のプレイ Store で利用可能な人気のあるリモート管理アプリがセキュリティ保護されていないネットワークを使用する場合コード実行やデータ盗難の攻撃に Android のユーザーの数千万を開き、研究者が木曜日に言いました。 今週、最近- と現時点で多分 — セキュリティ会社 Zimperium によって公開された更新ファイルとブログの記事によると、重要なユーザー データを送信するとき、AirDroid の最新バージョンは静的と容易に検出可能な暗号化キーを使用しています。攻撃者が同じネットワーク上にあることができる弱点不正更新をプッシュまたは国際モバイル機器のアイデンティティと国際移動加入者の id 指定各電話に固有を含む可能性のある機密性の高いユーザー情報を表示します。アプリは公式のグーグル プレイ Store から 1000 万 〜 5000 万回ダウンロードされています。 シモーネ ・足、主なセキュリティ研究員 Zimperium の zLabs、「同じネットワーク上の悪意のある党犠牲者がリモートでこの脆弱性を活用できるよう利得彼らのデバイスの完全な制御、」Ars に語った。「さら攻撃者になります IMEI、IMSI、などユーザーの機密情報を見ることができます。更新、または偽の更新プログラムがインストールされているとすぐにソフトウェアが自動的に更新された起動 [Android アプリ ファイル] 誰ことを確認せず」。 Zimperium が個人的に発見した脆弱性は、AirDroid バージョン 4.0 では、11 月中旬に発売の存在に残った 5 月、AirDroid 開発者に報告。水曜日、AirDroid 開発者バージョン 4.0.0.1、不特定のバグ修正を提供してリリースしました。穴はその更新プログラムにプラグインされている場合すぐに明確ではなかった。ある、AirDroid という前提でユーザーは、できるだけすぐにそれをインストールする必要があります、のみを安全なネットワーク。AirDroid の代表者は、この記事にコメントを求めるメッセージに応答しませんでした。 足は、AirDroid バージョン彼女は特定のほとんどのトラフィックは、データの暗号化に使用される業界標準の HTTPS をテストしながら、機能は HTTP を介して送信されたと述べた。HTTP が使用された場合、自身のファイル更新通知および更新プログラムを含む — HTTP 送信データは、DES データ暗号化規格の短いを使用して暗号化されました。驚くことに、この対称暗号化方式で使用するキー — 890jklms — だった AirDroid アプリケーションにハードコーディングどこ Zimperium の研究者を見つけるは簡単だった。 Zimperium のブログの記事に含まれているタイムラインは、同社はまず 5 月下旬に脆弱性の AirDroid を通知を示しています。9 月には、AirDroid は今後リリースでは、最後に行ったライブ 2 週間前の Zimperium を知らせた。そのリリースでは、バージョン 4.0 では、アプリに脆弱性、残ったことを示した AirDroid の Zimperium の解析弱さの木曜日の情報開示につながった発見。 サンド ボックス アプリケーションに組み込まれている Android のオペレーティング システムは、悪意のあるアプリが持つアクセス権を制限できます、深刻な脅威になぜ残るか攻撃 Zimperium を示しているいくつかの理由があります。まず、AirDroid access の連絡先、デバイスの場所、テキスト メッセージ、写真、カメラ、マイク、Wi-Fi 接続、データとデバイスの ID と呼び出し情報、アプリ内購入機能など、使用権限の重要な数に達しています。さらに、限り、更新プログラムは利用可能な偽の通知を受信するときエンドユーザーが [ok] ボタンをクリックして、攻撃者が悪意のある更新を押すことができるそれらの権利を増大させます。 セキュリティ保護されていないネットワークに接続している間仮想プライベート ネットワー キング アプリの使用は保護のレイヤーを提供可能性があります中は、攻撃者がそれをバイパスするための方法が可能性があります。1 つの例: エンド ・ ユーザーは、Wi-Fi ネットワークをアクセスする前に表示を提示ターゲット非脱落型ポータル ページのタイプのホテル、会議主催者頻繁。 場所は、まで AirDroid ユーザーはネットワークを制御し、信頼にアプリの使用を制限する必要があります。パッチが使用可能になるが、人々 はすぐに、しかし、再びそれをインストールすることを確認する必要があります、セキュリティで保護されたネットワーク経由のみ。この記事は、新しくリリースされたバージョン 4.0.0.1 のステータスを報告する、できるだけ早く更新されます。
続きを読む…
At least 10 million Android users imperiled by popular AirDroid app
For at least the past six months, a popular remote management app available in the official Google Play Store has opened tens of millions of Android users to code-execution and data-theft attacks when they use unsecured networks, researchers said Thursday. As recently as earlier this week—and possibly even at this moment—the most up-to-date versions of AirDroid have used a static and easily detectable encryption key when transmitting update files and sensitive user data, according to a blog post published by security firm Zimperium.
Read more…
