O AirDroid tem uma vulnerabilidade que praticamente cede acesso total ao seu celular
O app AirDroid tem uma série vulnerabilidade que pode ceder acesso total do seu smartphone a um invasor. Os desenvolvedores ainda não liberaram correção.
O AirDroid permite que você controle um smartphone Android a partir do navegador do computador. É a opção mais popular para esse tipo de tarefa. O aplicativo, no entanto, possui algumas vulnerabilidades graves que permitem execuções de códigos e roubo de dados sensíveis ao utilizar conexões inseguras.
Uma análise realizada pela empresa de segurança mobile Zimperium revelou que existem algumas formas de tomar o controle sobre a comunicação entre o celular e o computador, desde que os dois dispositivos estejam conectados na mesma rede.
O AirDroid utiliza uma chave de criptografia estática e facilmente detectável e esse tipo de ataque possibilita que alguém roube as informações de login da conta do AirDroid e até rode códigos maliciosos em seu aparelho. Hackers conseguem inclusive interceptar o mecanismo de atualização e substituir uma nova versão do aplicativo por um arquivo APK próprio.
“Invasores na mesma rede da vítima podem se aproveitar dessa vulnerabilidade para ganhar controle remoto total do dispositivo”, disse o pesquisador de segurança da Zimperium, Simone Margaritelli, ao Ars Technica. “Além disso, o invasor terá acesso a dados sensíveis como o IMEI, IMSI e outras informações. Assim que a atualização, ou a falsa atualização, é instalada, o software abre automaticamente [o arquivo do app Android] sem verificar quem o desenvolveu”.
A brecha só não é pior porque o hacker precisa estar na mesma rede que o usuário. Então se você costuma acessar o AirDroid em redes não confiáveis ou públicas, é melhor deixar o aplicativo de lado até que uma atualização corrija o problema. E é sempre bom alertar que redes Wi-Fi muitas vezes são invadidas com facilidade.
O cenário é preocupante principalmente pelo fato do AirDroid ter acesso a muitas permissões no sistema, incluindo a possibilidade de fazer compras dentro de apps, acessar contatos, localização do dispositivo, mensagens de texto, fotos, câmeras, microfone, dados da rede Wi-FI, número do telefone e identificação do dispositivo. Uma atualização falsa que substitua o aplicativo original pode ir ainda mais longe.
Neste vídeo da Zimperium é mostrado como a vulnerabilidade pode ser explorada:
De acordo com a empresa de segurança, os desenvolvedores do AirDroid foram notificados sobre a vulnerabilidade no dia 24 de março de 2016 e reconheceram o problema alguns dias depois. Em setembro, o aplicativo avisou a Zimperium sobre uma atualização que seria lançada algumas semanas depois e que corrigiria a brecha. Esse update – a versão 4.0 – chegou há duas semanas, mas o app continuava vulnerável.
Um comunicado oficial do AirDroid explica que existe uma dificuldade no gerenciamento de aplicações que lidam com duas telas e com todo o procedimento de sincronização necessário para entregar uma boa experiência para o usuário. Eles afirmam ainda que a versão 4.0 já trouxe alguns ajustes, mas que ainda é preciso aguardar por melhores soluções de criptografia. A promessa é de que em duas semanas tudo esteja corrigido.
fique por dentro das novidades giz
Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas
