此应用程序使您能够通过WiFi将智能手机或平板电脑连接到电脑
不久前,AirDroid应用程序出现了一些安全问题。该应用程序允许您通过WiFi将智能手机或平板电脑连接到电脑,这样您就可以从电脑传输文件并控制设备。几个月前,研究人员发现了一个身份验证漏洞,攻击者可以通过该漏洞访问端口并劫持现有连接。这一缺陷最终被AirDroid修复,但它暴露了此类WiFi文件共享应用程序可能存在的安全问题。
最近,密歇根大学的一组研究人员发现,Play Store中数百个提供此类功能的应用程序也遭遇了严重的安全漏洞。这些应用程序实际上将您的设备变成了服务器,这样您的电脑就可以连接到智能手机或平板电脑。然而,这些应用程序有一个主要的安全缺陷,因为这些应用程序会打开不安全的端口。因此,如果该人正在使用这些不安全的应用程序之一,恶意实体可以扫描网络上的设备,以找到攻击的开放端口,并轻松找到它。
密歇根的研究人员开发了一个名为OPAnalyzer(代表开放端口分析器)的软件,然后用它来扫描Play Store中大约10万个流行应用程序的代码。在这个过程中,他们发现有1632个应用程序打开了智能手机或平板电脑上的端口。然后,在1632个应用程序中,他们发现其中410个对开放端口的保护为零或非常弱。
在这410个应用程序中,他们发现其中57个保持这些端口打开,攻击者可以在同一个本地WiFi网络上使用它们。很多手机都设置了自动连接到开放式WiFi网络,这样可以少用移动数据。一旦发生这种情况,攻击者拥有完全访问权限,可以扫描设备的端口,然后寻找潜在的漏洞。
研究人员甚至发现了使用硬编码密码来授权访问该端口的应用程序。通过分析应用程序的代码可以找到这些密码。一般来说,很明显,在盲目相信应用程序已经实现了适当的网络安全协议之前,您应该采取预防措施,否则您将容易受到攻击。