บริษัทความปลอดภัย Zimperium รายงานช่องโหว่ของ AirDroid แอพควบคุมอุปกรณ์จากระยะไกล (remote access) ยอดนิยมของแพลตฟอร์ม Android โดยระบุว่าโพรโทคอลการสื่อสารของ AirDroid ระหว่างอุปกรณ์กับเซิร์ฟเวอร์ ใช้การเข้ารหัสที่ไม่ปลอดภัยเพียงพอ
Zimperium ลองแกะโค้ดของ AirDroid แล้วพบว่าโพรโทคอลมีการเข้ารหัสข้อมูลก่อนส่ง แต่คีย์ที่ใช้เข้ารหัสกลับถูกฝังแบบ hardcode ภายในตัวแอพ เป็นช่องโหว่ให้แฮ็กเกอร์นำคีย์ไปใช้ดักข้อมูลแบบ Man-in-the-Middle (MITM)
Zimperium แจ้งช่องโหว่นี้ไปยัง AirDroid ตั้งแต่เดือนพฤษภาคม แต่ใน AirDroid เวอร์ชันล่าสุด 4.0.1 ที่เพิ่งออกวันที่ 30 พฤศจิกายน ยังพบช่องโหว่อยู่เหมือนเดิม ส่งผลให้ Zimperium ตัดสินใจเปิดเผยข้อมูลต่อสาธารณะ
ฝั่งของ AirDroid ชี้แจงว่าผู้ใช้จะไม่ได้รับผลกระทบ หากใช้ AirDroid ในวงแลนที่ปลอดภัย บริษัทยืนยันว่าให้ความสำคัญกับช่องโหว่นี้ และจะออกอัพเดตภายในสองสัปดาห์ ส่วนเหตุผลที่การแก้ปัญหาล่าช้า เกิดจากทั้งการปรับโครงสร้างภายในบริษัท และการสื่อสารกับทีม Zimperium ที่มีข้อผิดพลาด
Comments
ถ้าโดนทีนี่หมดทุกอย่างเลย
แล้วแบบนี้ ต้องแก้ยังไงเหรอครับ รึต้อง gen key สำหรับเข้ารหัส ใหม่ทุกครั้ง
ไปยัง AirDroid