据国外技术博客 Zimperium 报道,作为 Android 系统上最好用的手机同步、备份软件,AirDroid 被爆使用静态加密、简单加密的方法来传输软件更新文件和敏感用户数据。只要黑客或恶意入侵者与使用 AirDroid 用户在同一网络中,黑客就可以利用这一漏洞来远程控制设备,获取设备的完整控制权,给用户安全造成威胁。
据悉自今年 5 月开始,这一漏洞就一直存在在 AirDroid 开发者版的软件中,版本号高于 4.0.0.1 的版本都存在这一漏洞。据ArsTechnica报道,截至12月2日,这一漏洞仍未修复。
漏洞来源
研究人员表示,虽然 AirDroid 采用了 HTTPS 标准来加密大多数的数据,但是某些数据却通过 HTTP 协议来传输。例如,系统通知、AirDroid 更新文件等。更可怕的是,对称加密的密钥「890jklms」写入在了 AirDroid 的应用中,非常容易被人发现。
HTTP 传输的内容是明文的,你上网浏览过、提交过的内容,所有在后台工作的人,比如路由器的所有者、网线途径路线的不明意图者、省市运营商、运营商骨干网、跨运营商网关等都能够查看。如果你访问的是国外网站,那么还得加上国际宽带出口、国外运营商等。这串名单可以不断延伸,一直到你对互联网由崇拜转为恐惧。
HTTPS 在 HTTP 的下层添加了加密功能,通过 HTTPS 协议传输的内容,除非上述这条链路的参与者提前准备,否则传输过的信息是基本不可能被解密的。而提前准备,攻击难度也非常高。
在今年 5 月份的时候,Zimperium 就曾通知过 AirDroid 团队这一漏洞,但是到了 9 月和 11 月的 2 次更新,这一漏洞都没有修复。
漏洞风险高,用户敏感信息极易泄露
虽然 Android 操作系统在许多安全软件的保护下可以一定程度上保护用户的财产、信息安全,但是 AirDroid 却带来了更多额外的风险。因为 AirDroid 获得了系统的多项重要权限,比如内购、联系人、地理位置、短信、照片、摄像头、麦克风、设备信息等。这些敏感信息一旦泄露,都将对用户的安全造成威胁。
但这一漏洞仅在不安全的网络环境下才会生效,如果是在用户信赖或安全的 WIFI 环境下,大可放心使用。但是,用户难免会接入一些免费 WIFI 或不安全的网络,所以还是建议用户不要在不安全的网络下使用 AirDroid。
本文转自d1net(转载)