Airdroid är en populär applikation för att skicka filer mellan dator och telefon, och har hittills laddats hem av miljontals användare från Google Play Store. Men deras telefoner kan nu stå vidöppna för hackare.
Säkerhetsföretaget Zimperium har upptäckt att applikationen har en statisk och enkel krypteringsnyckel, som är lätt att utnyttja. Det skriver sajten Ars Technica.
Läs också: Nya viruset Gooligan infekterar Android och snor lösenordet till ditt Google-konto
– Ett ondsint team på samma nätverk som offret kan använda den här sårbarheten för att på avstånd få full kontroll över apparaten. Anfallaren kan se användarens känsla information, säger Simone Margaritelli, forskare på Zimperium, till Ars Technica.
Applikationen använder sig av https för att skydda det mesta av trafiken, men notifikationer och uppdateringar går över http, och har krypteringsnyckeln hårdkodad in i själva applikationen. En nyckel som forskarna hittade utan några som helst problem.
Den exponerade säkerhetsnyckeln gör applikationen till ett stort hot, då Airdroid kan göra köp inuti appar och använda sig av användarinformation, som bilder och sms.
Hackers kan även skicka ut skadliga uppdateringar med malware till applikationen, då de kan ta över notifikationerna för uppdateringar och lura användaren till att godkänna en uppdatering.
Läs också: Varningen: räkna med att julfriden störs av överbelastningsattacker
Zimperium hittade svagheten redan i somras, men trots upprepade varningar har utvecklarna inte åtgärdat säkerhetshålet. För det ska fortfarande finnas kvar även om appen fått uppdateringar två gånger sedan i somras, senast i onsdags.
