Seguridad
Android
Apps
Hacker
Google

La app de acceso remoto, AirDroid, expone a millones de usuarios a ataques 'man-in-the-midle`

Los hackers que realizan ataques 'Man-in-the-middle' podrían aprovechar un fallo de la app para ejecutar código malicioso en los dispositivos Android.

airdroid

La mala implementación del cifrado de acceso remoto en AirDroid expone a millones de usuarios a robos de datos y ataques remotos. Esta aplicación envía información de autenticación cifrada con una clave codificada. Esta información podría permitir a los atacantes de `man-in-the-middle`  introducir un código malicioso en las actualizaciones, para luego obtener los permisos de la propia aplicación.

La aplicación, está en la tienda Google Play desde 2011 y, según sus desarrolladores, tiene más de 20 millones de descargas

AirDroid tiene acceso a los contactos de un dispositivo, información de ubicación, mensajes de texto, fotos, registros de llamadas, marcador, cámara, micrófono y el contenido de la tarjeta SD. También puede realizar compras en la aplicación, cambiar la configuración del sistema, desactivar el bloqueo de pantalla, cambiar la conectividad de red y mucho más.

Aunque AirDroid utiliza conexiones HTTPS cifradas para la mayoría de sus funcionalidades, algunas de ellas envían datos a servidores remotos en HTTP. Los desarrolladores intentaron proteger estos datos usando Data Encryption Standard (DES), pero la clave de cifrado es estática y codificada en la propia aplicación, lo que significa que cualquiera puede recuperarla.

Una característica vulnerable incluye la recopilación de estadísticas, que son enviadas por la aplicación a un servidor que utiliza cargas JSON cifradas. Estas cargas incluyen identificadores como id de la cuenta, id Android, id del dispositivo, IMEI, IMSI, logic_key e id único.

Un hacker en condiciones de interceptar el tráfico de usuarios en una red, podría darse cuenta de las solicitudes de AirDroid al servidor de recopilación de estadísticas y utilizar la clave de codificación para descifrar la carga útil de JSON. La información de identificación de cuenta y del dispositivo pueden utilizarse para suplantar el dispositivo en otros servidores a los que accede la aplicación.

Con esta información, el atacante puede hacerse pasar por el dispositivo de la víctima y realizar varias solicitudes HTTP o HTTPS en su nombre.

Está previsto que en 2 semanas los desarrolladores empiecen a trabajar en una nueva versión. Los investigadores recomiendan inhabilitar o desinstalar la aplicación hasta que esté disponible una corrección.

 

 



Contenido Patrocinado

Fernando Rubio Román, CTO de Microsoft España. TECNOLOGÍA
Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?

 

 
Cobertura de nuestros encuentros
 
 
 
 
Lee aquí nuestra revista de canal

DealerWorld Digital