AirDroid: Scoperte gravi vulnerabilità che mettono in pericolo milioni di utenti.


In questi giorni Zimperium, nota società privata di sicurezza mobile, ha scoperto diversi bug all'interno AirDroid, popolare applicazione per la gestione remota dei dispositivi Android. In pratica, stando a quanto hanno spiegato gli esperti, milioni di utenti in tutto il mondo sarebbero in pericolo a causa dell'utilizzo di un'unica chiave crittografica nel codice dell'applicazione e, nonostante la segnalazione iniziale sia avvenuta nello scorso mese di Maggio e numerose sollecitazioni siano state effettuate dalla suddetta azienda di sicurezza, Sand Studio, (azienda sviluppatrice di AirDroid), non ha ancora corretto le gravi vulnerabilità, nemmeno nella recente versione 4.0.1 distribuita a fine Novembre. Ad ogni modo, anche se sul Play Store viene indicato un numero di installazioni compreso tra 10 e 50 milioni e quindi non è possibile conoscere l'esatta popolarità dell'applicazione, il problema risulta essere piuttosto serio: gli esperti di sicurezza di Zimperium, infatti, hanno fatto sapere che il rischio di subire un cosiddetto attacco "man-in-the-middle", (noto anche come MITM, MIM, MIM attack o MITMA), sia piuttosto elevato. In sostanza, entrando un po' più nel dettaglio, AirDroid utilizza una connessione HTTPS per quasi tutte le sue funzionalità, ma per alcune operazioni, (come la raccolta di dati statistici), vengono sfruttati canali meno sicuri: i ricercatori hanno, infatti, scoperto che Sand Studio usa una chiave DES "hardcoded" uguale per tutti gli utenti, (ovvero la chiave 890jklms). Perciò un malintenzionato potrebbe intercettare il traffico di Rete, eseguire un attacco MITM ed ottenere le credenziali di autenticazione: in questo modo sarà in grado di rubare diverse informazioni sensibili, come username, password, indirizzo e-mail, codici IMEI e IMSI. Inoltre, utilizzando un proxy,  avrebbe la possibilità di intercettare le richieste inviate da AirDroid per verificare la presenza di aggiornamenti e quindi installare sullo smartphone qualsiasi file APK infetto, senza che la vittima si accorga di nulla, in quanto l'update sembrerà del tutto originale. Comunque sia, come già anticipato, Zimperium ha contattato Sand Studio lo scorso 24 Maggio e, nonostante lo sviluppatore abbia confermato di essere a conoscenza del problema, anche le più recenti versioni di AirDroid, (vale a dire la 4.0 e 4.0.1), includono le stesse vulnerabilità. Motivo per il quale gli esperti di Zimperium hanno deciso di rendere pubblico questo grave problema di sicurezza ed hanno, infine, consigliato a tutti gli utenti di disinstallare immediatamente l'applicazione in questione dai loro dispositivi, in attesa di una patch che vada a correggere definitivamente il bug.

Commenti