Брешь в ПО Afaria позволяла удалять данные на любых смартфонах

Специалисты компании ERPScan обнаружили уязвимость в популярной системе удаленного управления смартфонами Afaria, позволяющую злоумышленникам стирать все содержимое целевых устройств. Проэксплуатировав брешь, киберпреступники могут обойти процедуру аутентификации и удалить все данные со смартфона жертвы.

Системные администраторы могут управлять телефоном с установленной Afaria, отправив на него SMS со специальной цифровой подписью. В ней используется хэш SHA256, выведенный из трех параметров: IMEI-кода смартфона, идентификатора передатчика и значение переменной LastAdminSession. Злоумышленник может получить идентификатор передатчика, отправив на сервер Afaria запрос соединения, а также использовать произвольное значение переменной LastAdminSession. Код IMEI можно получить при перехвате мобильного трафика. Поскольку корпорации обычно закупают смартфоны для сотрудников партиями, злоумышленники могут узнать IMEI-коды остальных сотрудников путем подбора.

Уязвимости подвержены все смартфоны с установленным ПО Afaria. По подсчетам ERPScan, их число достигает 130 миллионов. Отметим, что разработчик выпустил исправление, устраняющее брешь.