Comments 13
UFO just landed and posted this here
Вопрос хороший. Еще лучше вопрос — почему зная об уязвимости разработчики даже не почесались за полгода?
0
UFO just landed and posted this here
>захардкоренный в коде ключ
>маркетинг, исследования
10 из 10.
P.S. Как бы не было смешно, но вы, к сожалению, с большой долей вероятности правы.
>маркетинг, исследования
10 из 10.
P.S. Как бы не было смешно, но вы, к сожалению, с большой долей вероятности правы.
0
Ну могли б хоть ключ поменять на более длинный и быстренько новую версию запилить, усилий минимум, но хоть какая-то заплатка была бы сразу. А так отговорки какие-то…
-1
Нет никакой разницы, длинный ключ или нет. Его никто не брутфорсил, его посмотрели в apk.
0
Тут нигде не написано что он был в apk в открытом виде. Написано лишь, что получен он при помощи парсинга.
Как бы там ни было, основная мысль была в том что его неплохо было бы сменить, после того как он в открытом доступе появился.
Как бы там ни было, основная мысль была в том что его неплохо было бы сменить, после того как он в открытом доступе появился.
0
Проблема в том, что ключ шифрования захардкорен в самом коде AirDroid (890jklms — сам ключ, полученный при помощи парсинга).
Как только его сменят таким образом, он сразу появится в открытом доступе вновь. Авторам надо воспользоваться каким-либо способом выработки общего секрета. Например, алгоритмом Диффи-Хеллмана.
0
Во первых «сразу» да не сразу. Во вторых, как минимум уже существующие сплоиты придётся переделывать.
В третьих, у меня ощущение что вы первое моё сообщение через слово прочитали, дураку понятно, что нужно какую-то более серьёзную защиту организовать, я же написал, цитата: «усилий минимум, но хоть какая-то заплатка была бы сразу».
Как же меня порой раздражает подобное буквоедство местных товарищей. Давайте уже закроем этот разговор.
В третьих, у меня ощущение что вы первое моё сообщение через слово прочитали, дураку понятно, что нужно какую-то более серьёзную защиту организовать, я же написал, цитата: «усилий минимум, но хоть какая-то заплатка была бы сразу».
Как же меня порой раздражает подобное буквоедство местных товарищей. Давайте уже закроем этот разговор.
0
UFO just landed and posted this here
В бете говорят уже пофиксили. http://www.androidpolice.com/2016/12/07/airdroid-beta-4-0-0-2-fixes-major-security-issues-official-rollout-expected-soon/
0
Полгода ничего не делали, теперь обещают за 2 недели исправить. Степень безразличности к безопасности пользователей понятна. Обычное явление в мире Android.
-3
Sign up to leave a comment.
В приложении AirDroid была найдена критическая уязвимость, которая позволяет проводить MitM-атаки