Múltiples fallos de cifrado en AirDroid exponen la privacidad y seguridad de sus usuarios

Share this…

AirDroid es una de las aplicaciones más populares para todos los usuarios de Android que quieren transferir archivos a su móvil desde una interfaz web y sin necesidad de conectar ningún tipo de cables. Aunque no da una cifra concreta, los datos de Google Play reflejan que ha sido instalada por entre 10 y 50 millones de usuarios en todo el mundo.

Esta noche, la empresa de seguridad Zimperium ha desvelado un informe en el que hablan de las múltiples vulnerabilidades que han encontrado en la aplicación. Desde hace por lo menos seis meses, AirDroid ha estado exponiendo a todo el que la utilizase en conexiones inseguras a que un atacante pudiera obtener el control remoto de su dispositivo.

La gran vulnerabilidad de la aplicación está en su cifrado. AirDroid utiliza los estándares HTTPS para cifrar casi todo el tráfico, pero los datos de algunas de sus funciones más importantes los envía desprotegidos mediante HTTP, como por ejemplo la actualización de notificaciones o la de los propios archivos.

En estos casos, se intenta compensar la inseguridad del HTTP co un cifrado DES (data encryption standard), cuya clave encriptación está codificada en la propia aplicación. Esto ha hecho que para los investigadores haya sido sencillo poder obtener la clave y con ella saltarse todo el cifrado, con lo que han podido tener acceso a los datos que son enviados mediante HTTP, incluyendo las notificaciones de actualización y el envío de los propios archivos que se actualizan.

¿Qué implicaciones tiene la vulnerabilidad?

La vulnerabilidad no debería preocuparnos si utilizamos la aplicación en nuestra casa y controlamos quién tiene acceso a nuestra WiFi. Pero en los casos en las que estemos utilizando redes públicas, un atacante podría interceptar nuestra solicitud de autenticación para realizar un ataque Man-in-the-middle utilizando la clave extraída de cualquier APK de la aplicación.

Una vez obtenido el acceso a nuestro móvil, el atacante podría enviarnos APK maliciosas para provocar actualizaciones fraudulentas en el móvil e infectarnos con malware. También podrían obtener datos sensibles como nuestro e-mail, dirección, contraseña asociada a la cuenta de AirDroid, o identificadores únicos para cada dispositivo como el IMEI y el IMSI.

La empresa de seguridad Zimperium informó a AirDroid del fallo en mayo, pero ha seguido presente en las últimas actualizaciones de la aplicación, incluyendo la última que ha llegado esta misma semana. De momento la empresa guarda silencio, pero cabría esperar que ahora que la vulnerabilidad se ha hecho pública decidan por fin solucionarla con una nueva actualización.

Fuente:https://www.genbeta.com/