Sicherheitsforscher von Zimperium
warnen vor einer gefährlichen Schwachstelle, die im Update-Vorgang
der Android-App Air Droid klafft. Die App ist laut Google Play auf
mindestens 10 Millionen Geräten installiert.
Allerdings muss sich ein Angreifer im selben lokalen Netzwerk mit
einem anvisierten Opfer befinden, damit ein Übergriff funktioniert.
Dann kann er dem Opfer unter Umständen Schadcode unterschieben,
um das Android-Gerät zu kapern. Auch Informationen wie die
IMEI und IMSI sollen Angreifer dabei auslesen können.
Nutzer, die AirDroid
aber ausschließlich in ihm bekannten und vor Eindringlingen
abgeschotteten Netzwerken nutzt, sollte auf der sicheren Seite sein.
Die Sicherheitsforscher erläutern, dass die Entwickler von
AirDroid seit Mai über das Problem Bescheid wissen. Zwar wurden
Ende November zwei neue Versionen veröffentlicht, die Schwachstelle
klafft laut Zimperium aber in der aktuellen Ausgabe 4.0.1 immer
noch.
AirDroid kommuniziert, den Sicherheitsforschern zufolge, größtenteils
verschlüsselt per HTTPS. Die App soll allerdings in einigen
Situationen Daten mit dem schon lange als unsicher geltenden Data
Encryption Standard (DES) verschlüsseln und per HTTP verschicken.
Üblicherweise beträgt die Schlüssellänge von
DES nur 56 Bit.
Allerdings ist der Schlüssel in AirDroid hardcodiert und darüber
hinaus statisch. Der Schlüssel lässt sich Zimperium zufolge
vergleichsweise einfach auslesen.
Die Sicherheitsforscher warnen, dass Angreifer über den kompromittierten
Update-Prozess Opfern Fake-Updates unterschieben und sich dabei
höhere Rechte auf dem Smartphone erschleichen könnten.
Da AirDroid nicht prüft, wer Updates gebaut hat und diese umgehend
ausführt, soll das Unterjubeln von Fake-Updates klappen.
Zimperium empfiehlt den AirDroid-Entwicklern, stringent auf HTTPS
zu setzen. Public Key Pinning kann hilfreich sein, um Man-in-the-Middle-Angriffe
vorzubeugen. Weiterhin empfehlen sie für den sicheren Schlüsselaustausch
etwa Diffie Hellman. Vor der Installation eines Updates sollte zudem
ein Signatur-Abgeich stattfinden.
(ts, hannover)
(siehe auch heise-News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|