В приложении AirDroid исправлено несколько уязвимостей аутентификации

В популярном приложении AirDroid для управления устройствами на базе Android исправлено несколько уязвимостей аутентификации в web-интерфейсе. С помощью данных брешей злоумышленники могли получить полный доступ к мобильному устройству пользователя.

ИБ-консультант компании Bishop Fox Мэтт Брайант (Matt Bryant), который обнаружил уязвимость, заявил, что брешь была исправлена месяц назад. Жертвами кибератаки могли стать владельцы устройств на которых установлено AirDroid 3.0.4 или более ранние версии приложения.

AirDroid позволяет управлять Android устройствами с планшетов на базе Windows и Mac или через web-интерфейс. Для работы приложение требует множество разрешений, таких как возможность отправлять текстовые сообщения, включать камеру и доступ к мобильному устройству.

Брайант сообщил о том, что благодаря уязвимости, злоумышленники могли отправлять жертвам текстовое сообщение, содержащее вредоносную ссылку. Уязвимые версии AirDroid использовали JSONP (JavaScript Object Notation с набивкой) для того, чтобы запрашивать данные с сервера с разных доменов. Web-браузеры часто запрещают это действие в качестве меры предосторожности, известной, как правило ограничения домена.