QR code per la pagina originale

Gravi vulnerabilità in AirDroid, utenti in pericolo

Gli esperti di Zimperium hanno individuato gravi bug in AirDroid che permettono di intercettare il traffico, rubare dati sensibili e installare file APK.

,

Zimperium ha scoperto diversi bug nella popolare app di gestione remota per Android. Milioni di utenti in tutto il mondo sono in pericolo a causa dell’utilizzo di un’unica chiave crittografica nel codice di AirDroid. Nonostante la segnalazione iniziale sia avvenuta a maggio e nonostante le numerose sollecitazioni effettuate dall’azienda di sicurezza, lo sviluppatore Sand Studio non ha corretto le gravi vulnerabilità, nemmeno nella recente versione 4.0.0.1 distribuita a fine novembre.

Sul Google Play Store viene indicato un numero di installazioni compreso tra 10 e 50 milioni, quindi non è possibile conoscere l’esatta popolarità dell’applicazione. In ogni caso il problema è piuttosto serio: Zimperium ritiene che il rischio di subire un attacco MITM (man-in-the-middle) sia piuttosto elevato. AirDroid utilizza una connessione HTTPS per quasi tutte le funzionalità, ma per alcune operazioni, come la raccolta di dati statistici, vengono sfruttati canali meno sicuri. I ricercatori hanno infatti scoperto che Sand Studio usa una chiave DES “hardcoded” (890jklms), uguale per tutti gli utenti.

Un malintenzionato potrebbe quindi intercettare il traffico di rete, eseguire un attacco MITM ed ottenere le credenziali di autenticazione. In questo modo è possibile rubare diverse informazioni sensibili, come username, password, indirizzo email, codici IMEI e IMSI. Usando un proxy è inoltre possibile intercettare le richieste inviate da AirDroid per verificare la presenza di aggiornamenti e quindi installare sullo smartphone qualsiasi file APK infetto. L’utente non si accorgerà di nulla, in quanto l’update sembrerà originale.

Zimperium ha contattato Sand Studio il 24 maggio. Lo sviluppatore ha confermato di essere a conoscenza del problema, ma le due ultime versioni dell’app (4.0.0 e 4.0.0.1) includono le stesse vulnerabilità. Zimperium ha quindi deciso di rendere pubblico il grave problema di sicurezza. In attesa di una patch, gli utenti devono immediatamente disinstallare AirDroid dai loro dispositivi.

Aggiornamento del 9 dicembre: AirDroid ha rilasciato la versione 4.0.0.3 che risolve il problema scoperto da Zimperium.

Fonte: Ars Technica • Notizie su: