據國外技術部落格 zimperium 報道,作為 android 系統上最好用的手機同步、備份軟體,airdroid 被爆使用靜态加密、簡單加密的方法來傳輸軟體更新檔案和敏感使用者資料。隻要黑客或惡意入侵者與使用 airdroid 使用者在同一網絡中,黑客就可以利用這一漏洞來遠端控制裝置,擷取裝置的完整控制權,給使用者安全造成威脅。
據悉自今年 5 月開始,這一漏洞就一直存在在 airdroid 開發者版的軟體中,版本号高于 4.0.0.1 的版本都存在這一漏洞。據arstechnica報道,截至12月2日,這一漏洞仍未修複。
漏洞來源
研究人員表示,雖然 airdroid 采用了 https 标準來加密大多數的資料,但是某些資料卻通過 http 協定來傳輸。例如,系統通知、airdroid 更新檔案等。更可怕的是,對稱加密的密鑰「890jklms」寫入在了 airdroid 的應用中,非常容易被人發現。
http 傳輸的内容是明文的,你上網浏覽過、送出過的内容,所有在背景工作的人,比如路由器的所有者、網線途徑路線的不明意圖者、省市營運商、營運商骨幹網、跨營運商網關等都能夠檢視。如果你通路的是國外網站,那麼還得加上國際寬帶出口、國外營運商等。這串名單可以不斷延伸,一直到你對網際網路由崇拜轉為恐懼。
https 在 http 的下層添加了加密功能,通過 https 協定傳輸的内容,除非上述這條鍊路的參與者提前準備,否則傳輸過的資訊是基本不可能被解密的。而提前準備,攻擊難度也非常高。
在今年 5 月份的時候,zimperium 就曾通知過 airdroid 團隊這一漏洞,但是到了 9 月和 11 月的 2 次更新,這一漏洞都沒有修複。
漏洞風險高,使用者敏感資訊極易洩露
雖然 android 作業系統在許多安全軟體的保護下可以一定程度上保護使用者的财産、資訊安全,但是 airdroid 卻帶來了更多額外的風險。因為 airdroid 獲得了系統的多項重要權限,比如内購、聯系人、地理位置、短信、照片、攝像頭、麥克風、裝置資訊等。這些敏感資訊一旦洩露,都将對使用者的安全造成威脅。
但這一漏洞僅在不安全的網絡環境下才會生效,如果是在使用者信賴或安全的 wifi 環境下,大可放心使用。但是,使用者難免會接入一些免費 wifi 或不安全的網絡,是以還是建議使用者不要在不安全的網絡下使用 airdroid。
本文轉自d1net(轉載)