Actualidad

Un fallo de AirDroid podría permitir ataques DDoS

El equipo estadounidense de emergencias informáticas (US-CERT) ha descubierto una vulnerabilidad cross-site scripting (XSS) en la versión navegador de AirDroid, una aplicación de gestión cloud para los teléfonos Android, para la que de momento no hay parche y ni solución alguna.

De acuerdo a un aviso emitido por el US-CERT, si un atacante fuera capaz de tener acceso a un teléfono con AirDroid instalado, podría enviar un mensaje con texto malicioso al navegador asociado con la cuenta. Una vez que el mensaje alcanza el navegador, el atacante podría ejecutar un ataque XSS, que a su vez podría dar lugar a una serie de problemas, incluyendo fugas de información, escalada de privilegios y denegación de servicio en el sistema afectado.

Aparentemente el problema radica en que la interfaz web de AirDroid, web.airdroid.com, no elimina adecuadamente el código que es enviado a través de mensajes de texto. La aplicación se puede utilizar conjuntamente con los navegadores populares como Internet Explorer, Google Chrome, Mozilla Firefox y Safari de Apple, para acceder a los archivos de los dispositivos Android desde la web.

AirDroid emplea una conexión HTTPS segura y una serie de códigos QR y contraseñas de un solo uso para permitir el intercambio del terminal al ordenador. La sección de seguridad del sitio web de AirDroid señala el servicio sólo puede ser utilizado mientras ambos equipos están en la misma red WiFi.

El CERT aconseja a los usuarios conectarse desde hosts y redes de confianza, si bien en este caso esa recomendación sirve de poco, ya que el ataque XSS se presenta como una petición HTTP desde el host de un usuario legítimo", es decir, un teléfono que ya ha sido autorizado, lo que significa que no hay ninguna solución práctica a este problema. Tampoco existe parche para AirDroid, cuya última actualización de publicó en agosto del pasado año.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper