Une grave faille dans AirDroid

0

airdroid

Une importante faille de sécurité est présente dans AirDroid et il très fortement conseillé de désinstaller l’application. Question de sécurité.

Alors qu’AirDroid venant de lancer sa dernière version il y une quinzaine de jours, une importante faille de sécurité est présente dans l’application et permettrait l’installation et l’exécution à distance de n’importe quelle application, malwares y compris.

Clé de chiffrement commune

Selon nos confrères de FrAndroid, AirDroid est au courant de cette faille depuis le 24 mai dernier. Elle avait été découverte avec la version bêta de la version 4 de l’application et elle n’a pas été corrigée dans la version publiée dernièrement.

La faille concerne une clé de chiffrement utilisée lors de la communication de statistiques aux serveurs de l’application. Si l’envoi de ces statistiques est bien chiffré à l’aide d’une clé de chiffrement, celle-ci est hardcodée dans l’application et est commune à tous les utilisateurs de l’application.

Il suffit donc à une personne mal intentionnée de décompiler le fichier .APK de l’application pour retrouver la clé de chiffrement. Ensuite, en interceptant le flux de données grâce à un proxy, l’attaquant peuvent exécuter des requêtes sur l’appareil distant et installer des add-on à AirDroid. Mais sous couvert d’add-on, l’attaquant pourra installer ce qu’il veut, l’utilisateur ne recevra qu’une notification de mise à jour d’add-on d’AirDroid.

FrAndroid n’y va pas par quatre chemins et conseille tout simplement de désinstaller immédiatement l’application tant qu’un correctif ne sera pas publié. Mauvaise publicité pour AirDroid qui bénéficie généralement d’une bonne aura.

Noter cet article

Laisser un commentaire

Please enter your comment!
Please enter your name here