AirDroid: Aktuelle Versionen anfällig für MITM-Angriff

2. Dezember 2016 Kategorie: Android, Backup & Security, geschrieben von: Sascha Ostermaier

artikel_airdroidSicherheitslücken in Apps, sie kommen immer wieder vor. Umso erfreulicher, wenn sich Sicherheitsforscher mit Apps beschäftigen und die Entwickler sogar vor dem Veröffentlichen der Lücke kontaktieren. So geschehen im Fall von AirDroid. Bereits im Mai wurde der Entwickler von AirDroid von Zimperium kontaktiert, da die App Lücken aufweist, die Angreifern eine „Man-in-the-Middle“-Attacke ermöglichen. Danach passierte exakt nichts. Am 28. November wurde dann Version 4.0 von AirDroid veröffentlicht, immer noch mit Lücken. Und auch Version 4.0.1 vom 30. November weist die Lücken weiterhin auf. Nun wurden sie veröffentlicht, eine normale Vorgehensweise in solchen Fällen.

Die gefundenen Lücken ermöglichen das Auslesen von Nutzerdaten und das Hijacken der Update-APK, was wiederum zur Code-Ausführung aus der Ferne genutzt werden kann. AirDroid nutzt unsichere Kommunikationskanäle, außerdem ist der Schlüssel, der eigentlich für die Datensicherheit sorgen sollte, direkt in der App untergebracht, ein Angreifer weiß also Bescheid. Befindet sich ein Angreifer im gleichen Netzwerk wie der Nutzer, kann er sich in die Verbindung einklinken und diese ausnutzen.

Nun ist AirDroid nicht unbedingt etwas, das man als Nischenanwendung ansehen würde. Der Google Play Store bescheinigt der App zwischen 10 und 50 Millionen Downloads. Umso unverständlicher, warum der Entwickler nicht auf die Hinweise von Zimperium reagiert hat. Aufpassen sollten Nutzer nun eben in öffentlichen WLANs oder generell, wenn sie AirDroid außerhalb des eigenen Netzwerks nutzen. Die technischen Details zu den Lücken findet Ihr bei Zimperium.



Anzeige: Infos zu neuen Smartphones, Tablets und Wearables sowie zu aktuellen Testberichten, Angeboten und Aktionen im Huawei News Hub.

Über den Autor: Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 7750 Artikel geschrieben.