AirDroid tem uma vulnerabilidade

airdroid-4-e1480704194766

O AirDroid permite que você controle um smartphone Android a partir do navegador do computador. É a opção mais popular para esse tipo de tarefa. O aplicativo, no entanto, possui algumas vulnerabilidades graves que permitem execuções de códigos e roubo de dados sensíveis ao utilizar conexões inseguras.

Uma análise realizada pela empresa de segurança mobile Zimperium revelou que existem algumas formas de tomar o controle sobre a comunicação entre o celular e o computador, desde que os dois dispositivos estejam conectados na mesma rede.

O AirDroid utiliza uma chave de criptografia estática e facilmente detectável e esse tipo de ataque possibilita que alguém roube as informações de login da conta do AirDroid e até rode códigos maliciosos em seu aparelho. Hackers conseguem inclusive interceptar o mecanismo de atualização e substituir uma nova versão do aplicativo por um arquivo APK próprio.

“Invasores na mesma rede da vítima podem se aproveitar dessa vulnerabilidade para ganhar controle remoto total do dispositivo”, disse o pesquisador de segurança da Zimperium, Simone Margaritelli, ao Ars Technica. “Além disso, o invasor terá acesso a dados sensíveis como o IMEI, IMSI e outras informações. Assim que a atualização, ou a falsa atualização, é instalada, o software abre automaticamente [o arquivo do app Android] sem verificar quem o desenvolveu”.

A brecha só não é pior porque o hacker precisa estar na mesma rede que o usuário. Então se você costuma acessar o AirDroid em redes não confiáveis ou públicas, é melhor deixar o aplicativo de lado até que uma atualização corrija o problema. E é sempre bom alertar que redes Wi-Fi muitas vezes são invadidas com facilidade.

O cenário é preocupante principalmente pelo fato do AirDroid ter acesso a muitas permissões no sistema, incluindo a possibilidade de fazer compras dentro de apps, acessar contatos, localização do dispositivo, mensagens de texto, fotos, câmeras, microfone, dados da rede Wi-FI, número do telefone e identificação do dispositivo. Uma atualização falsa que substitua o aplicativo original pode ir ainda mais longe.

Neste vídeo da Zimperium é mostrado como a vulnerabilidade pode ser explorada:

De acordo com a empresa de segurança, os desenvolvedores do AirDroid foram notificados sobre a vulnerabilidade no dia 24 de março de 2016 e reconheceram o problema alguns dias depois. Em setembro, o aplicativo avisou a Zimperium sobre uma atualização que seria lançada algumas semanas depois e que corrigiria a brecha. Esse update – a versão 4.0 – chegou há duas semanas, mas o app continuava vulnerável.

Um comunicado oficial do AirDroid explica que existe uma dificuldade no gerenciamento de aplicações que lidam com duas telas e com todo o procedimento de sincronização necessário para entregar uma boa experiência para o usuário. Eles afirmam ainda que a versão 4.0 já trouxe alguns ajustes, mas que ainda é preciso aguardar por melhores soluções de criptografia. A promessa é de que em duas semanas tudo esteja corrigido.

COMENTÁRIOS

O seu endereço de e-mail não será publicado.