A empresa de segurança Zimperium encontrou uma vulnerabilidade no aplicativo AirDroid, em seu modo de fazer a comunicação entre dispositivos, que pode permitir que um terceiro mal-intencionado execute código em um aparelho alvo.

Aparentemente, o próprio AirDroid depende de um método de comunicação inseguro para enviar dados que autentica os dispositivos em seus servidores de estatísticas. Os próprios pedidos são criptografados, mas a chave de criptografia é codificada dentro do aplicativo; assim o invasor pode adquirir essa chave e executar um ataque do tipo man-in-the-middle em dispositivos que executam o AirDroid.

Com as informações de autenticação do dispositivo, o invasor pode representar o dispositivo da vítima para executar quaisquer solicitações HTTP ou HTTPS. Isso pode permitir que o hacker modifique a resposta para uma determinada linha de código, além de executar código personalizado no dispositivo.

Desse modo, com a modificação o AirDroid irá notificar o usuário de que há uma atualização disponível para instalar. Ele irá baixar um arquivo malicioso .apk especificado pelo invasor. Isso poderia ter graves implicações para quem usa o AirDroid em uma rede WiFi insegura.

De acordo com a Zimperium, o AirDroid se baseia em endpoints de APIs HTTP seguras, mas descobriu que outros canais inseguros são usados para executar funções específicas no aplicativo.

O pior é que a empresa notificou os responsáveis pelo AirDroid sobre as vulnerabilidades em maio, mas os desenvolvedores ainda não fizeram nada a respeito. O cronograma completo de comunicação entre Zimperium e os desenvolvedores AirDroid mostra que eles tiveram quase seis meses para resolver este problema. Isso significa que o melhor a se fazer é evitar o uso do app até que a empresa se comunique oficialmente a respeito.