Специалистами компании ERPScan была обнаружена уязвимость в системе удаленного управления смартфонами Afaria, которая давала злоумышленнику возможность удалить всю информацию, хранящуюся на целевом устройстве.
Используя брешь, хакеры могут без проблем пройти процедуру аутентификации и стереть все данные, содержащиеся на смартфоне жертвы. Уязвимыми являлись все смартфоны, на которых было установлено программное обеспечение Afaria. По оценкам ERPScan, количество таких устройств может достигать 130 миллионов. Разработчик программного обеспечения уже выпустил исправление, которое устраняет уязвимость.
Управлять телефоном с установленной Afaria можно путем отправки на него SMS-сообщения, содержащего специальную цифровую подпись, в которой применяется хэш SHA256, сформированный исходя из таких параметров, как идентификатор передатчика, IMEI-код смартфона и значение переменной LastAdminSession. Чтобы получить идентификатор передатчика, злоумышленнику необходимо было отправить на сервер Afaria запрос соединения, а также ввести произвольное значение переменной LastAdminSession. Код IMEI может быть получен в результате перехвата мобильного трафика. Так как корпорации могут закупать смартфоны для сотрудников целыми партиями, у злоумышленников есть возможность узнать IMEI-коды остальных сотрудников путем их подбора.