AirDroid: Aktuelle Versionen anfällig für MITM-Angriff

artikel_airdroidSicherheitslücken in Apps, sie kommen immer wieder vor. Umso erfreulicher, wenn sich Sicherheitsforscher mit Apps beschäftigen und die Entwickler sogar vor dem Veröffentlichen der Lücke kontaktieren. So geschehen im Fall von AirDroid. Bereits im Mai wurde der Entwickler von AirDroid von Zimperium kontaktiert, da die App Lücken aufweist, die Angreifern eine „Man-in-the-Middle“-Attacke ermöglichen. Danach passierte exakt nichts. Am 28. November wurde dann Version 4.0 von AirDroid veröffentlicht, immer noch mit Lücken. Und auch Version 4.0.1 vom 30. November weist die Lücken weiterhin auf. Nun wurden sie veröffentlicht, eine normale Vorgehensweise in solchen Fällen.

Die gefundenen Lücken ermöglichen das Auslesen von Nutzerdaten und das Hijacken der Update-APK, was wiederum zur Code-Ausführung aus der Ferne genutzt werden kann. AirDroid nutzt unsichere Kommunikationskanäle, außerdem ist der Schlüssel, der eigentlich für die Datensicherheit sorgen sollte, direkt in der App untergebracht, ein Angreifer weiß also Bescheid. Befindet sich ein Angreifer im gleichen Netzwerk wie der Nutzer, kann er sich in die Verbindung einklinken und diese ausnutzen.

Nun ist AirDroid nicht unbedingt etwas, das man als Nischenanwendung ansehen würde. Der Google Play Store bescheinigt der App zwischen 10 und 50 Millionen Downloads. Umso unverständlicher, warum der Entwickler nicht auf die Hinweise von Zimperium reagiert hat. Aufpassen sollten Nutzer nun eben in öffentlichen WLANs oder generell, wenn sie AirDroid außerhalb des eigenen Netzwerks nutzen. Die technischen Details zu den Lücken findet Ihr bei Zimperium.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

6 Kommentare

  1. Ich weiß sowieso nicht, warum man so etwas benutzen sollte. Der Total Commander z.B. hat einen LAN Connect oder sftp, etc. Eine Freigabe eingerichtet, das Handy per TC verbinden und man kann alle Kopiervorgänge, Backup, etc machen, ohne auf die Vorgaben einer App angewiesen oder durch Lücken gefährdet zu sein. ich denke mal, so etwas liefern alle gängigen Dateimanager.

  2. @kuckiduck Aber was die App kann, weisst du!?

  3. Gut = Wenn man die App nur im eigenen Wlan nutzt ist die Gefahr relativ klein.
    Schlecht = Solange eine Lücke bekannt haben und sie nicht fixen. Spricht nicht für die Firma und ihr Interesse an User Sicherheit.

    Mag die App zwar, hab sie aber schon lange nicht mehr drauf, da ich die Funktionen, welche ich davon genutzt hatte mit anderen Apps (Wie z.b. Solid Explorer) komfortabler nutzen kann.

  4. Es ist tatsächlich so, dass es sich bei AirDroid nicht um ein Nischenprodukt handelt, eben sowenig aber um ein Produkt, dem man seine Daten anvertrauen sollte. Ich habe es lange nicht mehr betrachtet, aber für den Kontaktaufbau war Zugriff auf das Internet und deren Server notwendig, richtig? Also sehe ich grundsätzlich die gleichen Probleme wie bei Pushbullet und Konsorten. Als Alternative kann ich nur MyPhoneExplorer empfehlen, wobei ich nicht beurteilen kann, ob dieses alle Features abbildet.

    Diese Sicherheitslücke aber ist wirklich der Hit. Wenn ich das richtig verstehe, kann man so über die ManIntheMiddle-Attacke dem AirDroid irgend eine App unterschieben, die dann von AirDroid ausgeführt wird. Wozu ist denn diese Funktion in AirDroid überhaupt eingebaut? Wollen die sich damit selbst Updaten? Wenn das so wäre bestünde die Frage, wieso AirDroid nicht den Store für Updates nutzt.

  5. Saujunge: Nee, AirDroid kann durchaus auch über’s WLAN benutzt werden. Der Webmodus ist optional.

    Ich habe es trotzdem mal deinstalliert.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.