Vulnerabilità critica su AirDroid: 10 milioni di utenti Android a rischio

Vulnerabilità critica su AirDroid: 10 milioni di utenti Android a rischio

La celebre applicazione per lo scambio di file e dati da e verso dispositivi Android implementa una grossolana vulnerabilità sfruttabile durante l'uso con reti non sicure

di pubblicata il , alle 17:31 nel canale Sicurezza
Android
 

Negli ultimi sei mesi una delle più celebri app per la condivisione remota dei contenuti su Android, disponibile su Google Play Store, ha messo a rischio i dati di "decine di milioni di utenti Android". A dirlo è stata la società di sicurezza Zimperium, che ha scoperto una vulnerabilità presente su AirDroid: questa consente l'esecuzione di codice e attacchi volti ad estorcere dati sensibili presenti sullo smartphone quando quest'ultimo è collegato ad una rete non sicura.

AirDroid è stato scaricato da decine di milioni di utenti (da 10 a 50 milioni), solo sullo store di app ufficiale, e utilizza una chiave di cifratura statica facilmente rilevabile quando trasferisce dati dell'utente o file. Gli aggressori che si trovano sulla stessa rete possono sfruttare questa debolezza per condividere aggiornamenti fraudolenti o ricevere informazioni sensibili dell'utente, come l'IMEI o l'IMSI, identificativi univoci del dispositivo.

"Un utente malintenzionato che si trova sulla stessa rete della vittima può sfruttare la vulnerabilità per ottenere il pieno controllo di un dispositivo", sono state le parole di Simone Margaritelli, uno dei principali responsabili di Zimperium. "Se non bastasse, l'aggressore potrebbe essere in grado di rintracciare IMEI, IMSI e altre informazioni sensibili dello smartphone. Una volta installato un aggiornamento fake, il software viene avviato automaticamente senza ulteriori verifiche".

La vulnerabilità è stata scoperta e divulgata agli sviluppatori di AirDroid lo scorso mese di maggio, ed è ancora presente sull'ultima versione del software (4.0.0.1) rilasciata pochi giorni fa. Sebbene il software utilizzi per la maggior parte il protocollo HTTPS, alcuni dati vengono scambiati con il meno sicuro HTTP, fra cui le notifiche di aggiornamento e i file di aggiornamento stessi. Questi ultimi sono mandati con protezione crittografica DES, la cui chiave non è difficile da decifrare.

Il team di AirDroid ha ricevuto le prime notizie sulla vulnerabilità a maggio, ma ha risposto agli esperti di Zimperium solo nel mese di settembre promettendo un fix che a dicembre non è ancora arrivato. La mancata solerzia nel rilascio del fix può essere giustificata dal fatto che l'exploit viene bloccato dal sistema di sandbox di Android ed è il proprietario del dispositivo che deve accettare le richieste in arrivo. Secondo Zimperium, però, il caso non è da sottovalutare.

AirDroid dispone di una serie di permessi particolarmente profondi, come la possibilità di effettuare acquisti in-app, di accedere ai contatti, alla posizione del dispositivo, ai messaggi di testo, alle foto, alla fotocamera, al microfono, ai dati di connessione Wi-Fi, alle chiamate e agli identificativi del dispositivo. Camuffato da aggiornamento, il pacchetto può essere comunque accettato con permessi pieni dall'utente meno accorto che è spinto a credere che si tratti di un update legittimo.

Il rischio si può in parte annullare con l'uso di una VPN, ma al momento è consigliabile utilizzare AirDroid solo se collegati a reti sicure e affidabili in attesa di una patch che cambia l'approccio utilizzato dall'applicazione.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
wolf86e02 Dicembre 2016, 18:34 #1
Una al mese ormai
djfix1302 Dicembre 2016, 20:58 #2
ma quando mai si usa airdroid su reti non sicure o pubbliche, in più si usa su reti infrastruttura ove è sodato che sia una rete privata dove non ci siano "Gli aggressori che si trovano sulla stessa rete possono sfruttare questa debolezza per condividere aggiornamenti fraudolenti o ricevere informazioni sensibili dell'utente, come l'IMEI o l'IMSI, identificativi univoci del dispositivo."
gerko02 Dicembre 2016, 21:38 #3
Ma *dfdo#ism.
Un non problema, a casa mia chi cavolo mi viene a intercettare i dati..
LorenzAgassi03 Dicembre 2016, 08:39 #4
Originariamente inviato da: gerko
Ma *dfdo#ism.
Un non problema, a casa mia chi cavolo mi viene a intercettare i dati..




Un pò di pubblicità e propaganda anche per Zimperium ("semimando terrore" grazie alla sua scoperta), che deve far vedere esiste anche lei.
lombrico8503 Dicembre 2016, 09:04 #5
sempre il solito nino...il mattacchione del gruppo... ti picchiavano da piccolo?
gerko03 Dicembre 2016, 11:21 #6
Originariamente inviato da: lombrico85
sempre il solito nino...il mattacchione del gruppo... ti picchiavano da piccolo?


No, gli rubavano i compiti.
mauriziogl03 Dicembre 2016, 13:32 #7
Io mi stavo allarmando.. Non vedevo più articoli di Nino Grasso. Sono un suo fan.
Nui_Mg03 Dicembre 2016, 18:36 #8
Originariamente inviato da: mauriziogl
Non vedevo più articoli di Nino Grasso. Sono un suo fan.

Insomma all'incirca come quelli che sono fan di Lapo Elkann

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^