21. 7. 2015 15:20

Výzkumníci z Vulnerability Laboratory Core Research Team objevili zranitelnost v mobilní webové aplikaci AirDroid od společnosti Sand Studio. Aplikace AirDroid umožňuje uživatelům bezdrátově kontrolovat mobil nebo tablet s operačním systémem Android ze zařízení s OS Windows, Mac nebo přes webové rozhraní.

Charakteristika zranitelnosti

Chyba se nachází v modulu Send message pro odesílání zprávy. Vzdálený útočník může k odesílané zprávě připojit soubor, jehož název obsahuje škodlivý řetězec kódu (například ``><</span>script>alert(1).txt ). V okamžiku kdy je zpráva přijata na postiženém zařízení, dojde ke spuštění kódu, čímž může dojít ke kompromitaci cílového uživatelského účtu.

Postižené systémy

AirDroid 3.1.3

Dopad zranitelnosti

Tato chyba zabezpečení umožňuje vzdálenému útočníkovi s uživatelským účtem injektovat škodlivý kód na aplikační straně postiženého mobilního zařízení, na kterém běží zmíněná webová aplikace. Úspěšná exploitace může vést mimo jiné k zasílání phishingových e-mailů, session hijackingu, nebo k přesměrování na nebezpečné webové stránky.

Řešení

Doporučuje se vyčkat na novou verzi aplikace AirDroid a následně ji na vašem zařízení aktualizovat.

CVE

N/A

Odkazy

http://seclists.org/fulldisclosure/2015/Jul/99
http://www.vulnerability-lab.com/get_content.php?id=1543