AirDroid est une application qui permet essentiellement de créer une liaison sans fil entre un PC (ou un Mac) et un smartphone/tablette Android en vue d’échanger et synchroniser les fichiers entre les deux appareils. Une solution pratique quand on est dépourvu du câble USB (ou qu’on ne souhaite pas l’utiliser) et qui a été téléchargé plus de 10 millions de fois selon ce qu’indique Google Play.
Mais son efficacité et son succès ne la mette pas à l’abri des risques de sécurité. A en croire la société Zimperium, AirDroid est affecté de plusieurs vulnérabilités critiques. Lesquelles permettent pas moins à un attaquant d’obtenir les identifiants de l’utilisateur du smartphone sous Android 4.0 et plus.
Selon Zimperium, la faiblesse de la sécurité du canal de communication utilisé pour synchroniser les données ouvre la voie à une attaque de type Homme-du-milieu (Man-in-the-Middle) à partir du moment où l’attaquant se trouve sur le même réseau. Ce qui n’a rien d’impossible puisque la communication entre le smartphone et le PC passe par le réseau Wifi local.
La firme explique ainsi que les communications de AirDroid « sont chiffrées avec DES (mode ECB) mais la clé de cryptage est codée à l’intérieur de l’application elle-même (ainsi connue d’un attaquant) ». Une fois les identifiants utilisateurs récupérés, les attaquants peuvent installer des applications (fichiers APK) vecteurs d’exécution de code à distance. Sans négliger le vol de données personnelles. Pour les plus férus, Zimperium détaille les principes d’une attaque type sur son blog.
Le problème est que, pour l’heure, il n’y a aucune autre solution que d’éviter d’utiliser l’application pour ne pas risquer d’attaque. Alerté le 24 mai dernier par Zimperium, Sand Studio n’a toujours pas apporté de correctif. Si l’éditeur de AirDroid a bien fourni une nouvelle version de l’application le 28 novembre dernier, celle-ci reste vulnérable, affirme l’éditeur de sécurité. Face au manque de réactivité de Sand Studio, Zimperium a donc décidé de rendre la vulnérabilité publique le 1er décembre. Question : combien de temps Sand Studio mettra à réagir ?
Lire également
QuadRooter, 4 vulnérabilités qui menacent des millions de smartphones Android
Le chiffrement des smartphones Android n’est pas incassable
Sécurité : Android n’arrive toujours pas au niveau d’iOS
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.
Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…
Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…
Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?
Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…