Pull to refresh

Comments 13

UFO just landed and posted this here
Вопрос хороший. Еще лучше вопрос — почему зная об уязвимости разработчики даже не почесались за полгода?
UFO just landed and posted this here
>захардкоренный в коде ключ
>маркетинг, исследования

10 из 10.

P.S. Как бы не было смешно, но вы, к сожалению, с большой долей вероятности правы.
Ну могли б хоть ключ поменять на более длинный и быстренько новую версию запилить, усилий минимум, но хоть какая-то заплатка была бы сразу. А так отговорки какие-то…

Нет никакой разницы, длинный ключ или нет. Его никто не брутфорсил, его посмотрели в apk.

Тут нигде не написано что он был в apk в открытом виде. Написано лишь, что получен он при помощи парсинга.

Как бы там ни было, основная мысль была в том что его неплохо было бы сменить, после того как он в открытом доступе появился.
Проблема в том, что ключ шифрования захардкорен в самом коде AirDroid (890jklms — сам ключ, полученный при помощи парсинга).

Как только его сменят таким образом, он сразу появится в открытом доступе вновь. Авторам надо воспользоваться каким-либо способом выработки общего секрета. Например, алгоритмом Диффи-Хеллмана.

Во первых «сразу» да не сразу. Во вторых, как минимум уже существующие сплоиты придётся переделывать.

В третьих, у меня ощущение что вы первое моё сообщение через слово прочитали, дураку понятно, что нужно какую-то более серьёзную защиту организовать, я же написал, цитата: «усилий минимум, но хоть какая-то заплатка была бы сразу».

Как же меня порой раздражает подобное буквоедство местных товарищей. Давайте уже закроем этот разговор.
UFO just landed and posted this here
В бете говорят уже пофиксили. http://www.androidpolice.com/2016/12/07/airdroid-beta-4-0-0-2-fixes-major-security-issues-official-rollout-expected-soon/
Полгода ничего не делали, теперь обещают за 2 недели исправить. Степень безразличности к безопасности пользователей понятна. Обычное явление в мире Android.
UFO just landed and posted this here
Sign up to leave a comment.