Brutta tegola per AirDroid: ci sono multiple vulnerabilità note all'azienda da mesi e mai risolte (aggiornato)

I ricercatori di Zimperium hanno reso note una serie di vulnerabilità nella celere applicazione AirDroid, che consente di controllare dispositivi Android da PC, scambiando file ed eseguendo varie applicazioni senza bisogno di interagire fisicamente con lo smartphone.

La chiave di tutto sta nel meccanismo che AirDroid usa per comunicare con i suoi server. Le richieste utilizzano crittografia DES, però la chiave di decodifica è fissa per tutte le versioni di AirDroid, e custodita all'interno dell'applicazione stessa, quindi in pratica accessibile a chiunque. Pertanto, un attaccante che venisse a trovarsi sotto la vostra stessa rete ed eseguisse un attacco di tipo man in the middle, potrebbe ottenere le vostre credenziali di accesso, accedendo così alle informazioni dell'app, inclusi tutti i dati sensibili associati all'account AirDroid. Ma non finisce qui.

È infatti possibile per l'attaccante intercettare le richieste di aggiornamento degli add-on di AirDroid e, fingendosi una di queste, invitare l'utente ad installare un aggiornamento per un add-on, che in realtà può essere un qualsiasi apk, ed è logico che un malintenzionato potrebbe sfruttare questo fatto per compromettere ancora di più il dispositivo colpito.

Ma la cosa che dà più da pensare è che Zimperium ha notificato la presenza di queste gravi falle ad AirDroid il 24 maggio 2016, ed AirDroid le ha riconosciute il 30 dello stesso mese. A novembre è uscita la versione 4.0 di AirDroid, ma le vulnerabilità sono ancora presenti, ed anche la successiva patch alla versione 4.0.1, di pochi giorni fa, non ha corretto alcunché. Oggi quindi Zimperium ha deciso di rendere noto il problema, e per adesso il nostro consiglio è quello di disinstallare AirDroid, giusto per sicurezza.

Come già osservato, il fatto più grave è proprio l'assenza di provvedimenti da parte di AirDroid, che col rilascio della major release 4.0 avrà magari convinto nuovi utenti ad utilizzare i suoi servizi, esponendoli coscienziosamente a potenziali rischi. Nel link alla fonte trovate la descrizione completa della vulnerabilità scovate dai ricercatori di Zimperium, ed illustrate nel filmato qui sotto.

Aggiornamento: arriva la replica di AirDroid, che specifica che sotto reti Wi-Fi sicure ("quelle di cui conoscete il proprietario") non dovrebbero esserci problemi (ammesso che vi fidiate dei vostri familiari/colleghi - NdR), ed adducendo i ritardi del fix a problemi tecnici in pratica. In compenso una soluzione è promessa entro le prossime due settimane. Staremo a vedere.