新闻链接：http://www.freebuf.com/news/96693.html
新闻时间：2016-02-22
新闻正文：
使用流行的AirDroid应用的约5000万Android用户遭到了严重漏洞的影响，而该漏洞目前已被修复。AirDroid是能让你使用通过Wi-Fi连接的浏览器将Android设备连接至计算机，并实现短信发送、应用运行和添加应用等功能的APP，该APP在1月29日发布了补丁。

Check Point公司的安全研究人员在2月16日（周二）披露了AirDroid的漏洞，发出警告并简述了攻击者如何从毫无防备的用户手中窃取数据。攻击者只要通过SMS短信发送伪装成合法联系人（vCard）的信息，就可以实施攻击。当用户将该联系人保存至设备时，会使得攻击者的恶意有效载荷得以利用AirDroid应用中的漏洞，Check Point公司的报告如是记载。

“攻击一旦得逞，该APP会使攻击者得以在设备上执行代码，从而窃取数据并发送回他们的服务器，”该报告的作者兼Check Point公司的安全研究团队经理Oded Vanunu写道，他进一步补充说，攻击者必须获得有效的会话令牌，并在攻击中使用AirDroid API。

AirDroid的发布者，即位于加利福尼亚州的Sand Studio公司在三周之前为AirDroid发布了安全补丁（版本号3.2.0）。该公司未对评论请求作出回应。Check Point公司建议AirDroid用户立即升级自己的应用。

“攻击者只需知道手机号码，以及目标账号。在获得手机号之后，攻击者需要向攻击目标分享一个联系人，让攻击目标将该联系人添加至他/她的号码簿，”Vanunu写道。

用户在收到新联系人发来的文本信息之后，恶意代码（位置在evil.xyz/s.js）就会被加载并在AirDroid的网页中执行。

“主要的威胁在于个人信息会被完全窃取——试想一下，比如，仅仅收条SMS短信就会导致用户的所有数据被窃。另一威胁在于，攻击者或可控制目标设备的内容，”Vanunu写道。攻击者能够通过取得有效的会话令牌，使用AirDroid API获得用户Android设备的完全控制权。

Check Point公司称，该漏洞还可通过使用包括WhatsApp在内的任何信息APP和电子邮件实施。

去年4月份的时候，AirDroid曾修复过一个认证漏洞，该漏洞或可使攻击者获得针对联网Android设备的远程控制能力。2013年，AirDroid还曾修复过能让黑客从Android设备实施DoS攻击的漏洞。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法