В конце января калифорнийская компания Sand Studio, производитель AirDroid, выпустила патч для критической уязвимости, поставившей под удар 50 млн пользователей ОС Android. Это популярное приложение позволяет подключать Android-устройство к компьютеру по Wi-Fi и из его браузера отправлять SMS, запускать приложения или добавлять контакты.

Уязвимость CVE-2015-8112 была обнаружена исследователями из Check Point и раскрыта в минувший четверг. В алерте компании указано, что эксплойт возможен с помощью поддельного SMS-сообщения от легитимного (из файла vCard) пользователя. Эксплойт отрабатывает, если этот контакт сохранен на устройстве.

«Эксплойт позволяет атакующему исполнить код на устройстве с целью кражи данных и отправки их на подконтрольный сервер», — предостерегает Одед Вануну (Oded Vanunu), руководитель по ИБ-исследованиям Check Point. Он также подчеркнул, что для проведения атаки нужны валидный токен сессии и доступ к API-интерфейсу AirDroid.

Патч для CVE-2015-8112 (включен в версию 3.2.0) был выпущен 29 января. На запрос Threatpost о комментарии Sand Studio пока не ответила. Эксперты Check Point рекомендуют пользователям AirDroid применить патч незамедлительно.

«Все, что нужно атакующему, — это телефонный номер, ассоциируемый с целевым аккаунтом, — пишет Вануну. — Заполучив этот номер, злоумышленник должен поделиться карточкой контакта с целевым устройством, с тем чтобы этот контакт был добавлен в телефонную книгу».

Получение пользователем текстового сообщения с нового контакта влечет загрузку и исполнение вредоносного кода (размещен на evil.xyz/s[.]js) на веб-странице, открытой через AirDroid.

«Самой большой неприятностью в данном случае является кража конфиденциальной информации, — комментирует Вануну. — Вы только представьте себе: стоит лишь получить SMS, и вот уже все пользовательские данные, к примеру, похищены. Опасность также заключается в том, что атакующий сможет контролировать контент на целевом устройстве. Возможен также полный контроль над Android-устройством, если у атакующего есть валидный токен сессии и доступ к API AirDroid».

Согласно Check Point, для доставки эксплойта подойдет любой сервис обмена сообщениями, в том числе WhatsApp и электронная почта.

В апреле прошлого года в AirDroid была исправлена ошибка аутентификации, из-за которой атакующий мог получить удаленный контроль над подключенным к Сети Android-устройством. В 2013 году вышел патч для уязвимости в AirDroid, позволявшей проводить DoS-атаки с Android-устройства.

Категории: Уязвимости