読者です 読者をやめる 読者になる 読者になる

AirDroid、脆弱な通信の利用が判明

security

「1000万台以上のAndroid機、人気アプリAirDroidにより危険にさらされる」

arstechnica.com

Androidのトップ人気アプリAirDroid、脆弱性を晒す。開発者は脆弱性を無視」

news.softpedia.com

大本:「AirDroidの複数の脆弱性に関する解析」

blog.zimperium.com

PCとAndroid機を簡単にネットワーク内で接続する人気アプリAirDroidの通信仕様では、AirDroidのサーバに認証を行うのですが、その際の通信を暗号化する鍵が固定(プログラム中に直接記載)されているため、自分で抜き出した鍵で他人のAirDroid通信を傍受、改変することが可能とのこと。

発見したZimperium(StageFright脆弱性の発見で有名)は2016年5月に開発側に通知し、応答もかえってきたものの、AirDroidのその後の更新でも脆弱性への対応はみられないままとのこと。

なお、AirDroidの脆弱性を攻撃するためには、攻撃側も同一ネットワークにいる必要があります。このため、実際的な問題が出るのは公衆WiFi(HotSpot)を使う時とみていいと思います。カフェなどでの利用ですね。攻撃者がそこに攻撃ツールを設置してないといけないので、通常遭遇する可能性は低いとは思います。さすがに機密情報を扱う人が「公衆WiFiでAirDroid使って作業」はないと信じたいところです。