Llegamos a ustedes gracias a:



Alertas de Seguridad

AirDroid expone a millones de usuarios

A ataques 'man-in-the-midle'

[05/12/2016] La mala implementación del cifrado de acceso remoto en AirDroid expone a millones de usuarios a robos de datos y ataques remotos. De acuerdo a los investigadores de la firma de seguridad móvil Zimperium, esta aplicación envía información de autenticación cifrada con una clave codificada. Esta información podría permitir a los atacantes de 'man-in-the-middle' introducir un código malicioso en las actualizaciones, para luego obtener los permisos de la propia aplicación.

La aplicación, está en la tienda Google Play desde 2011 y, según sus desarrolladores, tiene más de 20 millones de descargas

AirDroid tiene acceso a los contactos de un dispositivo, información de ubicación, mensajes de texto, fotos, registros de llamadas, marcador, cámara, micrófono y el contenido de la tarjeta SD. También puede realizar compras en la aplicación, cambiar la configuración del sistema, desactivar el bloqueo de pantalla, cambiar la conectividad de red y mucho más.

Aunque AirDroid utiliza conexiones HTTPS cifradas para la mayoría de sus funcionalidades, algunas de ellas envían datos a servidores remotos en HTTP, señalaron los investigadores de Zimperium en una entrada de blog. Los desarrolladores intentaron proteger estos datos usando Data Encryption Standard (DES), pero la clave de cifrado es estática y codificada en la propia aplicación, lo que significa que cualquiera puede recuperarla.

Una característica vulnerable incluye la recopilación de estadísticas, que son enviadas por la aplicación a un servidor que utiliza cargas JSON cifradas. Estas cargas incluyen identificadores como id de la cuenta, id Android, id del dispositivo, IMEI, IMSI, logic_key e id único.

Un hacker en condiciones de interceptar el tráfico de usuarios en una red, podría darse cuenta de las solicitudes de AirDroid al servidor de recopilación de estadísticas, y utilizar la clave de codificación para descifrar la carga útil de JSON. La información de identificación de cuenta y del dispositivo pueden utilizarse para suplantar el dispositivo en otros servidores a los que accede la aplicación.

Con esta información, el atacante puede hacerse pasar por el dispositivo de la víctima y realizar varias solicitudes HTTP o HTTPS en su nombre.

Está previsto que en dos semanas los desarrolladores empiecen a trabajar en una nueva versión. Los investigadores recomiendan inhabilitar o desinstalar la aplicación hasta que esté disponible una corrección.

Lucian Constantin, IDG News Service