Gravi vulnerabilità in AirDroid, utenti in pericolo

Gli esperti di Zimperium hanno individuato gravi bug in AirDroid che permettono di intercettare il traffico, rubare dati sensibili e installare file APK.
Gli esperti di Zimperium hanno individuato gravi bug in AirDroid che permettono di intercettare il traffico, rubare dati sensibili e installare file APK.
Luca Colantuoni
Pubblicato il 2 dic 2016

Zimperium ha scoperto diversi bug nella popolare app di gestione remota per Android. Milioni di utenti in tutto il mondo sono in pericolo a causa dell’utilizzo di un’unica chiave crittografica nel codice di AirDroid. Nonostante la segnalazione iniziale sia avvenuta a maggio e nonostante le numerose sollecitazioni effettuate dall’azienda di sicurezza, lo sviluppatore Sand Studio non ha corretto le gravi vulnerabilità, nemmeno nella recente versione 4.0.0.1 distribuita a fine novembre.

Sul Google Play Store viene indicato un numero di installazioni compreso tra 10 e 50 milioni, quindi non è possibile conoscere l’esatta popolarità dell’applicazione. In ogni caso il problema è piuttosto serio: Zimperium ritiene che il rischio di subire un attacco MITM (man-in-the-middle) sia piuttosto elevato. AirDroid utilizza una connessione HTTPS per quasi tutte le funzionalità, ma per alcune operazioni, come la raccolta di dati statistici, vengono sfruttati canali meno sicuri. I ricercatori hanno infatti scoperto che Sand Studio usa una chiave DES “hardcoded” (890jklms), uguale per tutti gli utenti.

Un malintenzionato potrebbe quindi intercettare il traffico di rete, eseguire un attacco MITM ed ottenere le credenziali di autenticazione. In questo modo è possibile rubare diverse informazioni sensibili, come username, password, indirizzo email, codici IMEI e IMSI. Usando un proxy è inoltre possibile intercettare le richieste inviate da AirDroid per verificare la presenza di aggiornamenti e quindi installare sullo smartphone qualsiasi file APK infetto. L’utente non si accorgerà di nulla, in quanto l’update sembrerà originale.

Zimperium ha contattato Sand Studio il 24 maggio. Lo sviluppatore ha confermato di essere a conoscenza del problema, ma le due ultime versioni dell’app (4.0.0 e 4.0.0.1) includono le stesse vulnerabilità. Zimperium ha quindi deciso di rendere pubblico il grave problema di sicurezza. In attesa di una patch, gli utenti devono immediatamente disinstallare AirDroid dai loro dispositivi.

Aggiornamento del 9 dicembre: AirDroid ha rilasciato la versione 4.0.0.3 che risolve il problema scoperto da Zimperium.

Ti consigliamo anche

VPN in sconto dell'85% per 3 anni a 2,08 euro al mese con PrivateVPN
VPN

VPN in sconto dell'85% per 3 anni a 2,08 euro al mese con PrivateVPN
Il piano a vita di Babbel è in sconto del 50% (offerta a tempo limitato)
Corsi

Il piano a vita di Babbel è in sconto del 50% (offerta a tempo limitato)
ExpressVPN a metà prezzo con 3 mesi gratis con QUESTA PROMO
Software e App

ExpressVPN a metà prezzo con 3 mesi gratis con QUESTA PROMO
Amazon Svuota Tutto: SCONTI TECH OLTRE 60 PER CENTO!
Web e Social

Amazon Svuota Tutto: SCONTI TECH OLTRE 60 PER CENTO!
Link copiato negli appunti