Vulnerabilità critica su AirDroid: 10 milioni di utenti Android a rischio
La celebre applicazione per lo scambio di file e dati da e verso dispositivi Android implementa una grossolana vulnerabilità sfruttabile durante l'uso con reti non sicure
di Nino Grasso pubblicata il 02 Dicembre 2016, alle 17:31 nel canale SicurezzaAndroid
Negli ultimi sei mesi una delle più celebri app per la condivisione remota dei contenuti su Android, disponibile su Google Play Store, ha messo a rischio i dati di "decine di milioni di utenti Android". A dirlo è stata la società di sicurezza Zimperium, che ha scoperto una vulnerabilità presente su AirDroid: questa consente l'esecuzione di codice e attacchi volti ad estorcere dati sensibili presenti sullo smartphone quando quest'ultimo è collegato ad una rete non sicura.
AirDroid è stato scaricato da decine di milioni di utenti (da 10 a 50 milioni), solo sullo store di app ufficiale, e utilizza una chiave di cifratura statica facilmente rilevabile quando trasferisce dati dell'utente o file. Gli aggressori che si trovano sulla stessa rete possono sfruttare questa debolezza per condividere aggiornamenti fraudolenti o ricevere informazioni sensibili dell'utente, come l'IMEI o l'IMSI, identificativi univoci del dispositivo.
"Un utente malintenzionato che si trova sulla stessa rete della vittima può sfruttare la vulnerabilità per ottenere il pieno controllo di un dispositivo", sono state le parole di Simone Margaritelli, uno dei principali responsabili di Zimperium. "Se non bastasse, l'aggressore potrebbe essere in grado di rintracciare IMEI, IMSI e altre informazioni sensibili dello smartphone. Una volta installato un aggiornamento fake, il software viene avviato automaticamente senza ulteriori verifiche".
La vulnerabilità è stata scoperta e divulgata agli sviluppatori di AirDroid lo scorso mese di maggio, ed è ancora presente sull'ultima versione del software (4.0.0.1) rilasciata pochi giorni fa. Sebbene il software utilizzi per la maggior parte il protocollo HTTPS, alcuni dati vengono scambiati con il meno sicuro HTTP, fra cui le notifiche di aggiornamento e i file di aggiornamento stessi. Questi ultimi sono mandati con protezione crittografica DES, la cui chiave non è difficile da decifrare.
Il team di AirDroid ha ricevuto le prime notizie sulla vulnerabilità a maggio, ma ha risposto agli esperti di Zimperium solo nel mese di settembre promettendo un fix che a dicembre non è ancora arrivato. La mancata solerzia nel rilascio del fix può essere giustificata dal fatto che l'exploit viene bloccato dal sistema di sandbox di Android ed è il proprietario del dispositivo che deve accettare le richieste in arrivo. Secondo Zimperium, però, il caso non è da sottovalutare.
AirDroid dispone di una serie di permessi particolarmente profondi, come la possibilità di effettuare acquisti in-app, di accedere ai contatti, alla posizione del dispositivo, ai messaggi di testo, alle foto, alla fotocamera, al microfono, ai dati di connessione Wi-Fi, alle chiamate e agli identificativi del dispositivo. Camuffato da aggiornamento, il pacchetto può essere comunque accettato con permessi pieni dall'utente meno accorto che è spinto a credere che si tratti di un update legittimo.
Il rischio si può in parte annullare con l'uso di una VPN, ma al momento è consigliabile utilizzare AirDroid solo se collegati a reti sicure e affidabili in attesa di una patch che cambia l'approccio utilizzato dall'applicazione.
8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoUn non problema, a casa mia chi cavolo mi viene a intercettare i dati..
Un non problema, a casa mia chi cavolo mi viene a intercettare i dati..
Un pò di pubblicità e propaganda anche per Zimperium ("semimando terrore" grazie alla sua scoperta), che deve far vedere esiste anche lei.
No, gli rubavano i compiti.
Insomma all'incirca come quelli che sono fan di Lapo Elkann
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".