Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
12/04/2013
Un fallo de AirDroid podría permitir ataques DDoS
El equipo estadounidense de emergencias informáticas (US-CERT) ha descubierto una vulnerabilidad cross-site scripting (XSS) en la versión navegador de AirDroid, una aplicación de gestión cloud para los teléfonos Android, para la que de momento no hay parche y ni solución alguna.
De acuerdo a un aviso emitido por el US-CERT, si un atacante fuera capaz de tener acceso a un teléfono con AirDroid instalado, podría enviar un mensaje con texto malicioso al navegador asociado con la cuenta. Una vez que el mensaje alcanza el navegador, el atacante podría ejecutar un ataque XSS, que a su vez podría dar lugar a una serie de problemas, incluyendo fugas de información, escalada de privilegios y denegación de servicio en el sistema afectado.
Aparentemente el problema radica en que la interfaz web de AirDroid, web.airdroid.com, no elimina adecuadamente el código que es enviado a través de mensajes de texto. La aplicación se puede utilizar conjuntamente con los navegadores populares como Internet Explorer, Google Chrome, Mozilla Firefox y Safari de Apple, para acceder a los archivos de los dispositivos Android desde la web.
AirDroid emplea una conexión HTTPS segura y una serie de códigos QR y contraseñas de un solo uso para permitir el intercambio del terminal al ordenador. La sección de seguridad del sitio web de AirDroid señala que el servicio sólo puede ser utilizado mientras ambos equipos están en la misma red WiFi.
El CERT aconseja a los usuarios conectarse desde hosts y redes de confianza, si bien en este caso esa recomendación sirve de poco, ya que el ataque XSS se presenta como una petición HTTP desde el host de un usuario legítimo, es decir, un teléfono que ya ha sido autorizado, lo que significa que no hay ninguna solución práctica a este problema. Tampoco existe parche para AirDroid, cuya última actualización se publicó en agosto del pasado año.