Android opět pod útokem, na vině je AirDroid

6. 12. 2016

Sdílet

 Autor: © Google
Nepříliš zdařilá implementace šifrování v oblíbené aplikaci na vzdálenou správu systému v Androidu umožňuje hackerům útok pomocí vzdáleného spuštění kódu a potenciálně ohrožuje miliony uživatelů.

Podle výzkumníků z firmy Zimperium, která se specializuje na mobilní zabezpečení, posílá aplikace na sdílení obrazovky a vzdálenou kontrolu AirDroid ověřovací informace zašifrované pomocí pevně přiděleného klíče. Tato informace umožňuje man-in-the-middle útočníkům (MITM, také „člověk uprostřed“) vynutit si škodlivou aktualizaci aplikace, díky kterým získají částečná práva na zásahy do systému, stejná, jako má AirDroid.

AirdDroid v základu může přístupovat ke kontaktům uživatele, informacím o poloze, textovým zprávám, fotografiím, záznamům hovorů, foťáku, mikrofonu a obsahu na SD kartě. Může také uskutečňovat platby (alespoň ty v aplikaci), měnit některá systémová nastavení, zrušit zámek displeje, měnit nebo zrušit síťové spojení a ještě mnohem více.

Aplikace, vyvinutá týmem jménem Sand Studio, je v Google Play obchodu již od roku 2011 a od té doby má, podle dat vývojářů, přes 20 milionů stažení.

Ačkoli AirDroid využívá pro většinu svých funkcí zašifrované HTTPS spojení, některá komunikace se vzdálenými servery přesto probíhá skrze základní http, popisují vědci z firmy Zimperium v příspěvku na blogu. Vývojáři se pokusili takto odesílaná data zabezpečit pomocí DES standardu, ale šifrovací klíč je statický a zakódovaný přímo do aplikace, takže si jej může kdokoli zjistit, vysvětlují vědci.

Jednou z takto zranitelných funkcí je sběr statistik, které aplikace posílá na server pomocí DES metodou šifrovaných JSON nákladů. Lze z nich zjistit informace vedoucí k identifikaci účtu a zařízení uživatele a mohou být použitý k vydávání se za daný chytrý telefon, což útočníkům umožní připojit se k jiným serverům, které aplikace využívá.

„S touto informací se může útočník vydávat za mobilní zařízení oběti a vykonávat různé HTTP a HTTPS požadavky jeho jménem přímo na koncových bodech API AirDroidu,“ vysvětlují vědci.

Tak například MITM útočník může tímto způsobem přesměrovávat žádosti na server, využívané pro vyhledání nových aktualizací, a vložit tam svůj infikovaný kód. Uživatel dostane standardní oznámení o dostupné aktualizaci a pravděpodobně ji nainstaluje; tím hacker dostane přístup k pravomocem samotné aplikace.

Vědci ze Zimperium již vývojáře AirDroidu o problému informovali v květnu; ze zářijové odpovědi vyplynulo, že oprava má přijít v listopadových aktualizacích 4.0.0 a 4.0.1, aplikace však přesto zůstává zranitelná. Pracovníci firmy se tak rozhodli zranitelnost veřejně oznámit.

Podle šéfky marketingu Sand Studio, Betty Chenové, má opravná aktualizace vyjít do dvou týdnů. Vývojářský tým potřebuje čas na nalezení řešení a synchronizaci kódu u všech svých klientů na různých platformách a serverech, než nové šifrování vypustí do světa. Není totiž kompatibilní s předchozími verzemi, vysvětlila.

Vznikl zde jistý komunikační šum, neboť datum, které společnost dalo firmě Zimperium, se skutečně týkalo vydání AirDroidu 4.0, který sice učinil nějaké související změny, ne však samotnou opravu.

bitcoin školení listopad 24

Není to poprvé kdy se v AirDroidu objevila významná zranitelnost. V dubnu 2015 odhalil výzkumník, že skrze AirDroid může převzít kontrolu nad zařízení s Androidem prostým odesláním infikovaného odkazu uživateli skrze SMS. V únoru zase jiní výzkumníci z firmy Check Point přišli na způsob, jak ukrást data ze zařízení skrze systém kontaktů vCards s použitím právě AirDroidu.

Výzkumníci ze Zimperium doporučují aplikaci deaktivovat nebo odstranit do doby, než vyjde oficiální oprava. Instalovat v mezidobí jiné aktualizace této aplikace může pro uživatele být velmi nebezpečné.