Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News

Sicherheitsforscher von Zimperium warnen vor einer gefährlichen Schwachstelle, die im Update-Vorgang der Android-App Air Droid klafft. Die App ist laut Google Play auf mindestens 10 Millionen Geräten installiert.

Allerdings muss sich ein Angreifer im selben lokalen Netzwerk mit einem anvisierten Opfer befinden, damit ein Übergriff funktioniert. Dann kann er dem Opfer unter Umständen Schadcode unterschieben, um das Android-Gerät zu kapern. Auch Informationen wie die IMEI und IMSI sollen Angreifer dabei auslesen können.

Nutzer, die AirDroid aber ausschließlich in ihm bekannten und vor Eindringlingen abgeschotteten Netzwerken nutzt, sollte auf der sicheren Seite sein. Die Sicherheitsforscher erläutern, dass die Entwickler von AirDroid seit Mai über das Problem Bescheid wissen. Zwar wurden Ende November zwei neue Versionen veröffentlicht, die Schwachstelle klafft laut Zimperium aber in der aktuellen Ausgabe 4.0.1 immer noch.

AirDroid kommuniziert, den Sicherheitsforschern zufolge, größtenteils verschlüsselt per HTTPS. Die App soll allerdings in einigen Situationen Daten mit dem schon lange als unsicher geltenden Data Encryption Standard (DES) verschlüsseln und per HTTP verschicken. Üblicherweise beträgt die Schlüssellänge von DES nur 56 Bit.

Allerdings ist der Schlüssel in AirDroid hardcodiert und darüber hinaus statisch. Der Schlüssel lässt sich Zimperium zufolge vergleichsweise einfach auslesen.

Die Sicherheitsforscher warnen, dass Angreifer über den kompromittierten Update-Prozess Opfern Fake-Updates unterschieben und sich dabei höhere Rechte auf dem Smartphone erschleichen könnten. Da AirDroid nicht prüft, wer Updates gebaut hat und diese umgehend ausführt, soll das Unterjubeln von Fake-Updates klappen.

Zimperium empfiehlt den AirDroid-Entwicklern, stringent auf HTTPS zu setzen. Public Key Pinning kann hilfreich sein, um Man-in-the-Middle-Angriffe vorzubeugen. Weiterhin empfehlen sie für den sicheren Schlüsselaustausch etwa Diffie Hellman. Vor der Installation eines Updates sollte zudem ein Signatur-Abgeich stattfinden.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE