-
-
AirDroid修复泄露Android数据的漏洞
-
发表于: 2016-2-25 21:25 1326
-
使用流行的AirDroid应用的约5000万Android用户遭到了严重漏洞的影响,而该漏洞目前已被修复。AirDroid是能让你使用通过Wi-Fi连接的浏览器将Android设备连接至计算机,并实现短信发送、应用运行和添加应用等功能的APP,该APP在1月29日发布了补丁。
Check Point公司的安全研究人员在2月16日(周二)披露了AirDroid的漏洞,发出警告并简述了攻击者如何从毫无防备的用户手中窃取数据。攻击者只要通过SMS短信发送伪装成合法联系人(vCard)的信息,就可以实施攻击。当用户将该联系人保存至设备时,会使得攻击者的恶意有效载荷得以利用AirDroid应用中的漏洞,Check Point公司的报告如是记载。
“攻击一旦得逞,该APP会使攻击者得以在设备上执行代码,从而窃取数据并发送回他们的服务器,”该报告的作者兼Check Point公司的安全研究团队经理Oded Vanunu写道,他进一步补充说,攻击者必须获得有效的会话令牌,并在攻击中使用AirDroid API。
AirDroid的发布者,即位于加利福尼亚州的Sand Studio公司在三周之前为AirDroid发布了安全补丁(版本号3.2.0)。该公司未对评论请求作出回应。Check Point公司建议AirDroid用户立即升级自己的应用。
“攻击者只需知道手机号码,以及目标账号。在获得手机号之后,攻击者需要向攻击目标分享一个联系人,让攻击目标将该联系人添加至他/她的号码簿,”Vanunu写道。
用户在收到新联系人发来的文本信息之后,恶意代码(位置在evil.xyz/s.js)就会被加载并在AirDroid的网页中执行。
“主要的威胁在于个人信息会被完全窃取——试想一下,比如,仅仅收条SMS短信就会导致用户的所有数据被窃。另一威胁在于,攻击者或可控制目标设备的内容,”Vanunu写道。攻击者能够通过取得有效的会话令牌,使用AirDroid API获得用户Android设备的完全控制权。
Check Point公司称,该漏洞还可通过使用包括WhatsApp在内的任何信息APP和电子邮件实施。
去年4月份的时候,AirDroid曾修复过一个认证漏洞,该漏洞或可使攻击者获得针对联网Android设备的远程控制能力。2013年,AirDroid还曾修复过能让黑客从Android设备实施DoS攻击的漏洞。
Check Point公司的安全研究人员在2月16日(周二)披露了AirDroid的漏洞,发出警告并简述了攻击者如何从毫无防备的用户手中窃取数据。攻击者只要通过SMS短信发送伪装成合法联系人(vCard)的信息,就可以实施攻击。当用户将该联系人保存至设备时,会使得攻击者的恶意有效载荷得以利用AirDroid应用中的漏洞,Check Point公司的报告如是记载。
“攻击一旦得逞,该APP会使攻击者得以在设备上执行代码,从而窃取数据并发送回他们的服务器,”该报告的作者兼Check Point公司的安全研究团队经理Oded Vanunu写道,他进一步补充说,攻击者必须获得有效的会话令牌,并在攻击中使用AirDroid API。
AirDroid的发布者,即位于加利福尼亚州的Sand Studio公司在三周之前为AirDroid发布了安全补丁(版本号3.2.0)。该公司未对评论请求作出回应。Check Point公司建议AirDroid用户立即升级自己的应用。
“攻击者只需知道手机号码,以及目标账号。在获得手机号之后,攻击者需要向攻击目标分享一个联系人,让攻击目标将该联系人添加至他/她的号码簿,”Vanunu写道。
用户在收到新联系人发来的文本信息之后,恶意代码(位置在evil.xyz/s.js)就会被加载并在AirDroid的网页中执行。
“主要的威胁在于个人信息会被完全窃取——试想一下,比如,仅仅收条SMS短信就会导致用户的所有数据被窃。另一威胁在于,攻击者或可控制目标设备的内容,”Vanunu写道。攻击者能够通过取得有效的会话令牌,使用AirDroid API获得用户Android设备的完全控制权。
Check Point公司称,该漏洞还可通过使用包括WhatsApp在内的任何信息APP和电子邮件实施。
去年4月份的时候,AirDroid曾修复过一个认证漏洞,该漏洞或可使攻击者获得针对联网Android设备的远程控制能力。2013年,AirDroid还曾修复过能让黑客从Android设备实施DoS攻击的漏洞。
赞赏
看原图
赞赏
雪币:
留言: