Mise à jour du 9 décembre: Betty Chen, directrice du marketing d’AirDroid, a communiqué avec Android Central les dernières informations concernant le travail de l’équipe visant à corriger cette vulnérabilité. Voir la réponse ci-dessous:
Nous venons de terminer le déploiement par étapes d'AirDroid (Mobile 4.0.0.3; Mac / Win 3.3.5.3) sur Google Play Store, il est désormais disponible pour tous les utilisateurs. Dans cette mise à jour, nous avons amélioré notre mécanisme de chiffrement comme prévu et résolu le problème concernant les préoccupations récentes concernant la sécurité d'AirDroid.
Le problème est résolu dans la mise à jour.
Parallèlement à d'autres améliorations en matière de sécurité, nous avons mis à niveau les canaux de communication sur https et amélioré la méthode de cryptage.
En raison de la nature multiplate-forme d'AirDroid, il nous a fallu un certain temps pour concevoir une solution personnalisée et renforcer notre sécurité à tous égards. Nous avons introduit le système de codage de restructuration dans AirDroid4.0 et AirDroid 4.0.0.1 pour nous assurer que la compatibilité fonctionne correctement sur toutes les plates-formes à la fin du mois de novembre. Après une évaluation minutieuse, nous avons commencé à déployer partiellement cette mise à jour plus tôt ce mois-ci sur tous les clients pour nous assurer que la communication est fluide. Maintenant, nous pouvons enfin publier cette mise à jour complètement pour résoudre le problème et pour nous assurer que nos utilisateurs sont mieux protégés.
Les recherches de la firme de sécurité Zimperium ont montré que la populaire application de gestion à distance AirDroid était vulnérable aux attaques dites "man-n-the-middle", laissant les téléphones des utilisateurs ouverts au vol de données ou, au pire, à la compromission de l'appareil via un détournement fichier de mise à jour.
Selon Zimperium, un attaquant sur le même réseau que la victime visée pourrait intercepter les données d'authentification et se faire passer pour l'utilisateur, permettant ainsi à des données personnelles - telles que des SMS, des appels, des notifications ou des détails de contact - d'être exposées.
Plus sérieusement, le mécanisme de mise à jour de l'application pourrait également être piraté de la même manière, exposant ainsi les utilisateurs d'AirDroid à la destruction de l'ensemble de leur appareil par un fichier APK malveillant. La société de sécurité dispose d’une preuve de concept complète sur son site, ainsi que de la manière dont elle a révélé les vulnérabilités au développeur Sand Studio à compter de mai 2016.
Zimperium affirme que les versions récentes d'AirDroid 4.0.0 et 4.0.1 restent vulnérables à la même vulnérabilité. Nous avons contacté Sand Studio pour le commenter et nous mettrons à jour ce message avec toute réponse. En attendant, si vous êtes un utilisateur d’AirDroid soucieux de sa sécurité, vous pouvez envisager de désinstaller jusqu’à ce qu’un correctif soit disponible.
Vous pouvez télécharger la dernière version de AirDroid pour votre appareil Android ici. La dernière version de l'application de bureau peut être téléchargée à partir du site Web AirDroid. Si vous utilisez fréquemment AirDroid, vous voudrez certainement télécharger ces mises à jour critiques dès que possible.