AirDroid: Aktuelle Versionen anfällig für MITM-Angriff
Sicherheitslücken in Apps, sie kommen immer wieder vor. Umso erfreulicher, wenn sich Sicherheitsforscher mit Apps beschäftigen und die Entwickler sogar vor dem Veröffentlichen der Lücke kontaktieren. So geschehen im Fall von AirDroid. Bereits im Mai wurde der Entwickler von AirDroid von Zimperium kontaktiert, da die App Lücken aufweist, die Angreifern eine „Man-in-the-Middle“-Attacke ermöglichen. Danach passierte exakt nichts. Am 28. November wurde dann Version 4.0 von AirDroid veröffentlicht, immer noch mit Lücken. Und auch Version 4.0.1 vom 30. November weist die Lücken weiterhin auf. Nun wurden sie veröffentlicht, eine normale Vorgehensweise in solchen Fällen.
Die gefundenen Lücken ermöglichen das Auslesen von Nutzerdaten und das Hijacken der Update-APK, was wiederum zur Code-Ausführung aus der Ferne genutzt werden kann. AirDroid nutzt unsichere Kommunikationskanäle, außerdem ist der Schlüssel, der eigentlich für die Datensicherheit sorgen sollte, direkt in der App untergebracht, ein Angreifer weiß also Bescheid. Befindet sich ein Angreifer im gleichen Netzwerk wie der Nutzer, kann er sich in die Verbindung einklinken und diese ausnutzen.
Nun ist AirDroid nicht unbedingt etwas, das man als Nischenanwendung ansehen würde. Der Google Play Store bescheinigt der App zwischen 10 und 50 Millionen Downloads. Umso unverständlicher, warum der Entwickler nicht auf die Hinweise von Zimperium reagiert hat. Aufpassen sollten Nutzer nun eben in öffentlichen WLANs oder generell, wenn sie AirDroid außerhalb des eigenen Netzwerks nutzen. Die technischen Details zu den Lücken findet Ihr bei Zimperium.
Ich weiß sowieso nicht, warum man so etwas benutzen sollte. Der Total Commander z.B. hat einen LAN Connect oder sftp, etc. Eine Freigabe eingerichtet, das Handy per TC verbinden und man kann alle Kopiervorgänge, Backup, etc machen, ohne auf die Vorgaben einer App angewiesen oder durch Lücken gefährdet zu sein. ich denke mal, so etwas liefern alle gängigen Dateimanager.
@kuckiduck Aber was die App kann, weisst du!?
@Schröppke Ja
Gut = Wenn man die App nur im eigenen Wlan nutzt ist die Gefahr relativ klein.
Schlecht = Solange eine Lücke bekannt haben und sie nicht fixen. Spricht nicht für die Firma und ihr Interesse an User Sicherheit.
Mag die App zwar, hab sie aber schon lange nicht mehr drauf, da ich die Funktionen, welche ich davon genutzt hatte mit anderen Apps (Wie z.b. Solid Explorer) komfortabler nutzen kann.
Es ist tatsächlich so, dass es sich bei AirDroid nicht um ein Nischenprodukt handelt, eben sowenig aber um ein Produkt, dem man seine Daten anvertrauen sollte. Ich habe es lange nicht mehr betrachtet, aber für den Kontaktaufbau war Zugriff auf das Internet und deren Server notwendig, richtig? Also sehe ich grundsätzlich die gleichen Probleme wie bei Pushbullet und Konsorten. Als Alternative kann ich nur MyPhoneExplorer empfehlen, wobei ich nicht beurteilen kann, ob dieses alle Features abbildet.
Diese Sicherheitslücke aber ist wirklich der Hit. Wenn ich das richtig verstehe, kann man so über die ManIntheMiddle-Attacke dem AirDroid irgend eine App unterschieben, die dann von AirDroid ausgeführt wird. Wozu ist denn diese Funktion in AirDroid überhaupt eingebaut? Wollen die sich damit selbst Updaten? Wenn das so wäre bestünde die Frage, wieso AirDroid nicht den Store für Updates nutzt.
Saujunge: Nee, AirDroid kann durchaus auch über’s WLAN benutzt werden. Der Webmodus ist optional.
Ich habe es trotzdem mal deinstalliert.