Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
12/04/2013
Una fallada d'AirDroid podria permetre atacs DDoS
L’equip nord-americà d’emergències informàtiques (US-CERT) ha descobert una vulnerabilitat cross-site scripting (XSS) en la versió navegador d’AirDroid, una aplicació de gestió cloud per als telèfons Android, per a la qual de moment no hi ha pedaç, ni cap solució.
D’acord amb un avís emés per l’US-CERT, si un atacant fóra capaç de tindre accés a un telèfon amb AirDroid instal·lat, podria enviar un missatge amb text maliciós al navegador associat amb el compte. Una vegada que el missatge arriba al navegador, l’atacant podria executar un atac XSS, que al seu torn podria donar lloc a una sèrie de problemes, incloent-hi fugues d’informació, escalada de privilegis i denegació de servici en el sistema afectat.
Aparentment el problema està en el fet que la interfície web d’AirDroid, web.airdroid.com, no elimina adequadament el codi que és enviat a través de missatges de text. L’aplicació es pot utilitzar conjuntament amb els navegadors populars com a Internet Explorer, Google Chrome, Mozilla Firefox i Safari d’Apple, per a accedir als arxius dels dispositius Android des del web.
AirDroid usa una connexió HTTPS segura i una sèrie de codis QR i contrasenyes d’un sol ús per a permetre l’intercanvi del terminal a l’ordinador. La secció de seguretat del lloc web d’AirDroid assenyala que el servici només pot ser utilitzat mentres ambdós equips estan en la mateixa xarxa WiFi.
El CERT aconsella els usuaris a connectar-se des d’ordinadors centrals (hosts) i xarxes de confiança, si bé en este cas eixa recomanació servix de poc, ja que l’atac XSS es presenta com una petició HTTP des de l’ordinador central d’un usuari legítim, és a dir, un telèfon que ja ha sigut autoritzat, la qual cosa significa que no hi ha cap solució pràctica a este problema. Tampoc hi ha pedaç per a AirDroid, l’última actualització del qual es va publicar a l’agost de l’any passat.