Vulnerabilidade põe em risco mais de 10 milhões de usuários do AirDroid
O AirDroid, app que integra desktop e Android possui falha que permite ataque man-in-the-middle; hacker poderia roubar dados críticos de dispositivos móveis.
Ronaldo Gogoni 7 anos atrás
O AirDroid é um app muito útil para quem tem Android e precisa de interoperabilidade. Ele espelha seu dispositivo no desktop e permite que você compartilhe arquivos, execute apps e até atenda ligações, sendo compatível com Windows e macOS. O conceito foi inclusive adaptado pela Apple em 2014.
Só que as coisas não são legais quanto parecem. A empresa de segurança Zimperium identificou uma falha de segurança grave em como o AirDrop opera, o que permitiria um hacker realizar ataques MitM (man-in-the-middle) e complicar bastante a vida do usuário.
Os problemas residem no método de comunicação que o AirDroid utiliza para se comunicar com sua contraparte instalada em desktops. De acordo com os profissionais de segurança o app utiliza um método bastante inseguro para autenticar os devices em seu servidor de estatísticas. Funciona assim: os pedidos de autenticação são criptografados, a chave de criptografia é codificada e armazenada dentro do smartphone. A mesma é estática e facilmente identificável, o que é um convite para hackers.
Se o usuário estiver usando o AirDroid em uma rede Wi-Fi insegura, um atacante pode invadir as comunicações entre o smarthphone Android e o desktop e executar qualquer tipo de solicitação HTTP ou HTTPS. O app se baseia em endpoint seguros, mas utiliza outras conexões não protegidas para executar algumas funções.
Em teoria, um hacker pode aproveitar essa brecha modificando uma linha de código e enviando informações fraudulentas, como solicitar a instalação de uma atualização aparentemente oficial. Ao confirmar a opção o usuário permitiria a instalação de um .apk falso, que comprometeria toda a segurança do smartphone.
O grande problema é que a falha não é nova: a Zimperium a detectou pela primeira vez há seis meses e informou os desenvolvedores do AirDroid, que obraram e se locomoveram. Nada foi feito, a falha permanece lá colocando em risco mais de 10 milhões de usuários da solução.
A estratégia da empresa de segurança ao divulgar o bug é forçar o AirDroid a se mexer, consertando-o o quanto antes. Porém, dado o tempo de inércia e a má vontade da startup o mais inteligente seja mesmo desinstalar o aplicativo, ao menos até toda esse sururu se resolver. Antes ficar sem uma solução muito boa do que comprometer seus dados.
Fonte: Zimperium.
