Комментарии 13
НЛО прилетело и опубликовало эту надпись здесь
Вопрос хороший. Еще лучше вопрос — почему зная об уязвимости разработчики даже не почесались за полгода?
НЛО прилетело и опубликовало эту надпись здесь
>захардкоренный в коде ключ
>маркетинг, исследования
10 из 10.
P.S. Как бы не было смешно, но вы, к сожалению, с большой долей вероятности правы.
>маркетинг, исследования
10 из 10.
P.S. Как бы не было смешно, но вы, к сожалению, с большой долей вероятности правы.
Ну могли б хоть ключ поменять на более длинный и быстренько новую версию запилить, усилий минимум, но хоть какая-то заплатка была бы сразу. А так отговорки какие-то…
Нет никакой разницы, длинный ключ или нет. Его никто не брутфорсил, его посмотрели в apk.
Тут нигде не написано что он был в apk в открытом виде. Написано лишь, что получен он при помощи парсинга.
Как бы там ни было, основная мысль была в том что его неплохо было бы сменить, после того как он в открытом доступе появился.
Как бы там ни было, основная мысль была в том что его неплохо было бы сменить, после того как он в открытом доступе появился.
Проблема в том, что ключ шифрования захардкорен в самом коде AirDroid (890jklms — сам ключ, полученный при помощи парсинга).
Как только его сменят таким образом, он сразу появится в открытом доступе вновь. Авторам надо воспользоваться каким-либо способом выработки общего секрета. Например, алгоритмом Диффи-Хеллмана.
Во первых «сразу» да не сразу. Во вторых, как минимум уже существующие сплоиты придётся переделывать.
В третьих, у меня ощущение что вы первое моё сообщение через слово прочитали, дураку понятно, что нужно какую-то более серьёзную защиту организовать, я же написал, цитата: «усилий минимум, но хоть какая-то заплатка была бы сразу».
Как же меня порой раздражает подобное буквоедство местных товарищей. Давайте уже закроем этот разговор.
В третьих, у меня ощущение что вы первое моё сообщение через слово прочитали, дураку понятно, что нужно какую-то более серьёзную защиту организовать, я же написал, цитата: «усилий минимум, но хоть какая-то заплатка была бы сразу».
Как же меня порой раздражает подобное буквоедство местных товарищей. Давайте уже закроем этот разговор.
НЛО прилетело и опубликовало эту надпись здесь
В бете говорят уже пофиксили. http://www.androidpolice.com/2016/12/07/airdroid-beta-4-0-0-2-fixes-major-security-issues-official-rollout-expected-soon/
Полгода ничего не делали, теперь обещают за 2 недели исправить. Степень безразличности к безопасности пользователей понятна. Обычное явление в мире Android.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В приложении AirDroid была найдена критическая уязвимость, которая позволяет проводить MitM-атаки