Sécurité : AirDroid frappée d'une faille critique zero day
AirDroid est une application qui permet essentiellement de créer une liaison sans fil entre un PC (ou un Mac) et un smartphone/tablette Android en vue d'échanger et synchroniser les fichiers entre les deux appareils. Une solution pratique quand on est dépourvu du câble USB (ou qu'on ne souhaite pas l'utiliser) et qui a été téléchargé plus de 10 millions de fois selon ce qu'indique Google Play.
Mais son efficacité et son succès ne la mette pas à l'abri des risques de sécurité. A en croire la société Zimperium, AirDroid est affecté de plusieurs vulnérabilités critiques. Lesquelles permettent pas moins à un attaquant d'obtenir les identifiants de l'utilisateur du smartphone sous Android 4.0 et plus.
Attaque Homme-du-milieu
Selon Zimperium, la faiblesse de la sécurité du canal de communication utilisé pour synchroniser les données ouvre la voie à une attaque de type Homme-du-milieu (Man-in-the-Middle) à partir du moment où l'attaquant se trouve sur le même réseau. Ce qui n'a rien d'impossible puisque la communication entre le smartphone et le PC passe par le réseau Wifi local.
La firme explique ainsi que les communications de AirDroid « sont chiffrées avec DES (mode ECB) mais la clé de cryptage est codée à l'intérieur de l'application elle-même (ainsi connue d'un attaquant) ». Une fois les identifiants utilisateurs récupérés, les attaquants peuvent installer des applications (fichiers APK) vecteurs d'exécution de code à distance. Sans négliger le vol de données personnelles. Pour les plus férus, Zimperium détaille les principes d'une attaque type sur son blog.
Pas de correctif
Le problème est que, pour l'heure, il n'y a aucune autre solution que d'éviter d'utiliser l'application pour ne pas risquer d'attaque. Alerté le 24 mai dernier par Zimperium, Sand Studio n'a toujours pas apporté de correctif. Si l'éditeur de AirDroid a bien fourni une nouvelle version de l'application le 28 novembre dernier, celle-ci reste vulnérable, affirme l'éditeur de sécurité. Face au manque de réactivité de Sand Studio, Zimperium a donc décidé de rendre la vulnérabilité publique le 1er décembre. Question?: combien de temps Sand Studio mettra à réagir??
Lire également
QuadRooter, 4 vulnérabilités qui menacent des millions de smartphones Android
Le chiffrement des smartphones Android n'est pas incassable
Sécurité : Android n'arrive toujours pas au niveau d'iOS
Sur le même thème
Voir tous les articles Business