Airdroid4 E1480733227648

Si eres veterano utilizando Android, seguro te has topado con AirDroid en la Play Store. Su servicio, propone una ingeniosa forma de sincronizar nuestros móviles Android con nuestra PC de forma inalámbrica. Es así, que con AirDroid podemos sincronizar archivos, recibir notificaciones y enviar y recibir mensajes de nuestro móvil en la pantalla de nuestra PC. No obstante, la firma de seguridad Zimperium ha revelado un importante fallo de seguridad que ha estado en la aplicación por meses y que a pesar de haber sido notificado, aún no se ha resuelto.

Desde Zimperium aseguran que fue en Mayo de este año que se descubrió por primera vez la vulnerabilidad. AirDroid fue informada con detalles acerca del mismo. Desde entonce, la aplicación ha recibido actualizaciones mayores sin embargo siguen sin corregir el fallo. Incluso la reciente actualización 4.0.0.1 esta comprometida.

Según explica Zimperium, la falla reside en la forma en que está cifrado el paquete de datos que se envía desde el móvil. La clave de encriptacion misma puede ser interceptada por un atacante que se encuentre en la misma red, dándole permisos para poder enviar un archivo .APK malicioso y luego hacerse con el cotrol total del móvil. El usuario en este punto podría detener el ataque pues salta una ventana emergente, pero el hecho de que los APK vienen camuflados como si se tratase de un plugin mismo para AirDroid incrementa el riesgo de caer en trampa.

Sin embargo enviar archivos .APK para infectar no es lo único que se puede hacer. Esta vulnerabilidad también permite al atacante obtener con facilidad el IMEI y el IMSI sin que usuario se percate de ello.

Para ilustrar y hacer un llamado de atención a los desarrolladores de AirDroid, Zimperium ha publicado este vídeo donde se demuestra lo fácil que es perpetrar el ataque a esta aplicación:

Como hemos repetido, no hay un parche definitivo a la fecha. Los propios desarrolladores de AirDroid admiten que debido a la complejidad del código detrás de la aplicación tomará algo de tiempo poder solucionar por completo el fallo. Más aun, no han dado fecha limite para corregirlo.

Dicho lo anterior, el usuario tiene dos alternativas, utilizar AirDroid siempre que se encuentre en una red privada y segura, como la de nuestra casa, o bien, volver a sincronizar todo mediante el cable USB hasta que AirDroid haya sido corregido.