AirDroid 爆安全隱患,千萬用户數據面臨黑客入侵風險
據國外技術博客 Zimperium 報道,作為 Android 系統上最好用的手機同步、備份軟件,AirDroid 被爆使用靜態加密、簡單加密的方法來傳輸軟件更新文件和敏感用户數據。只要黑客或惡意入侵者與使用 AirDroid 用户在同一網絡中,黑客就可以利用這一漏洞來遠程控制設備,獲取設備的完整控制權,給用户安全造成威脅。
據悉自今年 5 月開始,這一漏洞就一直存在在 AirDroid 開發者版的軟件中,版本號高於 4.0.0.1 的版本都存在這一漏洞。據ArsTechnica報道,截至12月2日,這一漏洞仍未修復。
漏洞來源
研究人員表示,雖然 AirDroid 採用了 HTTPS 標準來加密大多數的數據,但是某些數據卻通過 HTTP 協議來傳輸。例如,系統通知、AirDroid 更新文件等。更可怕的是,對稱加密的密鑰「890jklms」寫入在了 AirDroid 的應用中,非常容易被人發現。
引用HTTP 傳輸的內容是明文的,你上網瀏覽過、提交過的內容,所有在後台工作的人,比如路由器的所有者、網線途徑路線的不明意圖者、省市運營商、運營商骨幹網、跨運營商網關等都能夠查看。如果你訪問的是國外網站,那麼還得加上國際寬帶出口、國外運營商等。這串名單可以不斷延伸,一直到你對互聯網由崇拜轉為恐懼。
HTTPS 在 HTTP 的下層添加了加密功能,通過 HTTPS 協議傳輸的內容,除非上述這條鏈路的參與者提前準備,否則傳輸過的信息是基本不可能被解密的。而提前準備,攻擊難度也非常高。
在今年 5 月份的時候,Zimperium 就曾通知過 AirDroid 團隊這一漏洞,但是到了 9 月和 11 月的 2 次更新,這一漏洞都沒有修復。
漏洞風險高,用户敏感信息極易泄露
雖然 Android 操作系統在許多安全軟件的保護下可以一定程度上保護用户的財產、信息安全,但是 AirDroid 卻帶來了更多額外的風險。因為 AirDroid 獲得了系統的多項重要權限,比如內購、聯繫人、地理位置、短信、照片、攝像頭、麥克風、設備信息等。這些敏感信息一旦泄露,都將對用户的安全造成威脅。
但這一漏洞僅在不安全的網絡環境下才會生效,如果是在用户信賴或安全的 WIFI 環境下,大可放心使用。但是,用户難免會接入一些免費 WIFI 或不安全的網絡,所以還是建議用户不要在不安全的網絡下使用 AirDroid。
資料來源:TECH2IPO