远程管理应用程序将数百万Android用户公开到黑客攻击

流行的Android远程管理应用程序中的加密实施较差地公开了数百万用户来数据盗窃和远程执行代码执行攻击。

根据移动安全公司Zimperium的研究人员，Airdroid屏幕共享和远程控制应用程序发送使用硬编码键加密的认证信息。此信息可以允许中间人攻击者推出恶意Airdroid附加更新，然后将获得应用程序本身的权限。

Airdroid可以访问设备的联系人，位置信息，短信，照片，呼叫日志，拨号器，相机，麦克风和SD卡的内容。它还可以执行应用内购买，更改系统设置，禁用屏幕锁，更改网络连接等等。

由一个名为Sandfit开发的应用程序，自2011年以来一直在Google Play Store中，根据其开发人员，已有超过2000万下载。

Zimperium研究人员在博客文章中说，虽然Airdroid使用加密的HTTPS连接，但某些功能将数据发送到普通的HTTP上的远程服务器。研究人员说，开发人员试图使用数据加密标准（DES）来确保此数据，但加密密钥是静态和硬编码的应用程序本身，这意味着任何人都可以检索它。

一个易受攻击的功能涉及统计信息，该数据由应用程序发送到服务器使用des加密的json有效载荷。这些有效载荷包括标识符，例如Consock_ID，Androidid，Device_ID，IMEI，IMSI，Logic_key和Outdure_ID。

在网络上拦截用户流量的黑客可以将Airdroid请求嗅探到统计收集服务器，并使用硬编码的加密密钥解密JSON有效载荷。然后，内部的帐户和设备识别信息可以用于将设备模拟到应用程序访问的其他服务器。

“拥有这些信息，攻击者现在可以模拟受害者的设备，并代表Airdroid API端点执行各种HTTP或HTTPS请求，”Zimperium研究人员表示。

例如，一个中间攻击者可以将请求重定向到用于检查Airdroid插件更新的服务器，然后将假更新注入响应。向用户通知更新可用并且可能会安装它，使恶意代码访问Airdroid的权限。

Zimperium研究人员声称他们通知了Airdroid开发人员在5月份的问题，并于9月通知即将到来的更新。新版本的Airdroid，4.0.0和4.0.1，于11月发布，但根据Zimperium，他们仍然仍然脆弱，因此研究人员决定使漏洞公开。

在沙子工作室的首席营销官，通过电子邮件，预计将在接下来的两周内开始推出此问题的更新。她说，“精品”开发团队需要时间来开发解决方案并同步所有客户端的代码，并在开始部署新的加密解决方案之前，这与以前的版本不兼容。

由于公司给予津贴的日期，有一些误解是为了释放Airdroid 4.0，这使得一些相关的变化，但不是实际修复。

这不是Airdroid中发现了严重漏洞的第一次。2015年4月，一名研究人员发现，他可以通过简单地通过SMS发送给用户的恶意链接来接管Android设备。2月份，研究人员从检查点找到了一种方法来利用Airdroid通过恶意制作的联系卡（VCards）从设备中窃取数据。

Zimperium研究人员建议禁用或卸载应用程序，直到提供最新问题的修复。