Des chercheurs ont découvert plusieurs failles de sécurité dans l'application AirDroid qui est utilisé par des millions de personnes.
AirDroid est un outil de gestion à distance des appareils Android qui vous permet de voir vos notifications, d'envoyer et de recevoir des messages et d'accéder aux fichiers directement de votre ordinateur. AirDroid a été téléchargé près de 10 millions de fois. En mai 2016, la firme de sécurité Zimperium a découvert plusieurs failles de sécurité sur AirDroid. Les développeurs connaissent donc ces failles et pourtant, elles sont encore présentes dans la dernière version d'AirDroid près de 6 mois plus tard.
Selon Zimperium, un pirate sur le même réseau pourrait intercepter le contrôle de requête pour les mises à jour des extensions et envoyer un APK malveillant sur l'appareil. De plus, le pirate pourrait avoir un accès complet à l'appareil et voir des données sensibles telles que les noms d'utilisateurs et les mots de passe.
Dans leur rapport officiel, Zimperium nous dit qu'AirDroid se base sur des canaux de communication non-sécurisés pour envoyer les mêmes données qui sont utilisés pour authentifier l'appareil sur leur service de statistique. Ces requêtes sont chiffrés avec la norme DES (en mode ECB) et la clé de chiffrement est codé dans l'application AirDroid et donc, le pirate peut la connaitre. N'importe quelle entité malveillante sur le même réseau pourrait exécuter une attaque de type Homme du milieu pour obtenir les informations d'authentification et se faire passer pour l'utilisateur.
Il est impardonnable que le développeur n'ait pas encore corrigé cette faille de sécurité majeure pendant plus de 6 mois. Après la dénonciation publique de Zimperium, AirDroid a annoncé qu'il allait publier un patch en 2 semaines. Mais c'est une pratique courante dans les applications Android. La sécurité est totalement négligé et les développeurs sont des fainéants qui ne corrigent pas leurs applications même si des chercheurs en sécurité dévoilent leurs failles. Il faut les mettre au pied du mur comme des rats acculés pour qu'ils fassent leur boulot.
0 commentaires:
Enregistrer un commentaire
Laissez votre merveilleux commentaire ! Tous les commentaires sont modérés avant la publication pour éviter le spam et autres perles de la civilisation.