スマホ関連の海外ニュースです。
人気のアンドロイド リモート管理アプリケーションで暗号化の貧弱な実装は、データの盗難やリモート コードの実行攻撃するユーザーの数百万を公開します。 モバイル セキュリティ事務所 Zimperium から、研究者によると AirDroid の画面共有、リモート コントロール アプリケーションは、ハード コーディングされたキーで暗号化された認証情報を送信します。この情報攻撃者が中間でアプリ自体のアクセス許可を得るだろうし、悪意のある AirDroid アドオン更新をプッシュします。 AirDroid、端末の連絡先、位置情報、テキスト メッセージ、写真、コールログ、ダイヤラー、カメラ、マイク、SD カードの内容にアクセスできます。アプリ内を実行することも購入、システム設定の変更、画面のロックを無効にする、ネットワーク接続および大いに多くを変更します。 服と呼ばれる砂のスタジオによって開発されたアプリは Google Play でストアで 2011年以来、その開発者によると以上 2000 万ダウンロード。 AirDroid は、その機能のほとんどは暗号化された HTTPS 接続を使用して、いくつかの機能は、プレーンな HTTP でリモート サーバーにデータを送信 Zimperium 研究者はブログの記事で述べています。開発者は、データ暗号化標準 (DES) を使用してこのデータをセキュリティで保護しようが、研究者は言った、誰かは、それを取得できますを意味、アプリケーション自体に暗号化キーは静的であり、ハードコーディングします。 影響を受ける機能 1 つにはには、DES で暗号化された JSON ペイロードを使用してサーバーにアプリケーションによって送信される統計情報のコレクションが含まれます。これらのペイロードには、id アカウント id、androidid、device_id、IMEI、IMSI、logic_key、unique_id などが含まれます。 位置にハッカーがネットワーク上のユーザー トラフィックを傍受できる統計情報収集サーバーに要求を AirDroid のにおいを嗅ぐし、ハード コーディングされた暗号化キーを使用して JSON ペイロードを解読します。内部アカウントとデバイス識別情報は、他のサーバー アプリケーションにアクセスするデバイスを偽装する使用できます。 「この情報を持つ攻撃者できます今被害者のデバイスを偽装し、AirDroid API エンドポイントにさまざまな HTTP または HTTPS 要求の実行」Zimperium 研究者は言った。 たとえば、中間の攻撃者は、AirDroid プラグインの更新をチェックし、応答に偽の更新プログラムを挿入するために使用するサーバーに要求をリダイレクトできます。ユーザーに AirDroid の権限を悪意のあるコードへのアクセスを与える更新プログラムが利用可能で、それをインストール可能性があります通知するでしょう。 Zimperium 研究者主張する彼らが問題について AirDroid 開発者を 5 月に通知し、今後の更新について 9 月に知らされました。AirDroid、4.0.0 と 4.0.1 の新バージョンが 11 月にリリースされたが、彼らは Zimperium によると、まだ脆弱性研究者脆弱性を公開することを決めたので。 ベティ陳、電子メールを介して砂スタジオの最高マーケティング責任者を言ったこの問題を修正する更新プログラムは、次の 2 週間以内のロールアウトを開始する予定です。「ブティック」の開発チームがソリューションを開発し、以前のバージョンと互換性がない、新しい暗号化ソリューションの展開を開始する前に異なるプラットフォームとサーバーのすべてのクライアントのコードを同期する時間を必要と彼女は言った。 Zimperium を会社に配った日だった、AirDroid 4.0 のリリースのいくつかの関連は変わりますが、実際の修正ではない、いくつかの誤解があった。 これは、AirDroid で深刻な脆弱性が発見されているの初めてではありません。2015 年 4 月、研究者は、彼が単に SMS 経由でユーザーに悪意のあるリンクを送信することによってインストールされている AirDroid と Android デバイス上取ることができる発見しました。二月、チェック ポイントからの研究者は、不正に作成された連絡先カード (Vcard) 経由でデバイスからデータを盗むために AirDroid を悪用する方法を発見します。 Zimperium 研究では、無効または最新の問題の修正プログラムが提供されるまでにアプリをアンインストールをお勧めします。
続きを読む…
Remote management app exposes millions of Android users to hacking
Poor implementation of encryption in a popular Android remote management application exposes millions of users to data theft and remote code execution attacks. According to researchers from mobile security firm Zimperium, the AirDroid screen sharing and remote control application sends authentication information encrypted with a hard-coded key. This information could allow man-in-the-middle attackers to push out malicious AirDroid add-on updates, which would then gain the permissions of the app itself.
Read more…
