Sicherheitslücke: AirDroid verspricht volle Transparenz

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 36254
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Sicherheitslücke: AirDroid verspricht volle Transparenz

Beitrag von doelf »

Sand Studio, der Entwickler der weit verbreiteten App AirDroid, verspricht volle Transparenz in Hinblick auf eine ziemlich große Lücke bei der Verschlüsselung von Datenübertragungen. Zugleich schreibt das zu Tongbu Networks gehörende Team von einem Missverständnis zwischen seinen Entwicklern und einem Blog und wirft damit eine ziemliche dicke Rauchbombe. Schließlich wurde die Schwachstelle nicht von irgendwelchen Amateuren, sondern vom Sicherheitsdienstleister Zimperium gefunden und nach sechs Monaten Untätigkeit seitens Sand Studio offengelegt.

Wo liegt das Problem?
Zimperium stieß bei der Analyse von AirDroid auf die unsichere DES-Verschlüsselung, welche für die Kommunikation mit den hauseigenen Statistik-Servern genutzt wird. Dabei werden auch die Anmeldedaten des Benutzers übermittelt. Die im Jahr 1977 entwickelt DES-Verschlüsselung arbeitet mit einer Schlüssellänge von lediglich 56 Bit und gilt schon lange als unsicher. Doch in diesem Fall hat Sand Studios sogar noch einen drauf gesetzt und den Schlüssel fest im Programmcode verankert. Angreifer müssen also nur einmal den Schlüssel auslesen und können diesen dann immer wieder verwenden. Angreifer in einer privilegierten Netzwerkposition, beispielsweise der Betreiber eines offenen WLAN-Hotspots, können somit die Zugangsdaten aller in ihrem Netzwerk befindlichen AirDroid-Nutzer mitschneiden und diese im Anschluss imitieren, um einen Fernzugriff zu starten oder Daten zu stehlen.

Wann wurde Sand Studio informiert?
Zimperium hatte Sand Studio erstmals am 24. Mai 2016 über die Sicherheitslücke informiert. Am 30. Mai 2016 bestätigte der Entwickler den Fehler. Trotz mehrfacher Nachfragen herrschte bis zum 7. September 2016 Funkstille seitens Sand Studios, dann wurde eine neue Version in Aussicht gestellt. Diese wurde dann am 28. November 2016 in Form von AirDroid 4.0.0 veröffentlicht und wies weiterhin den selben Fehler auf. Zwei Tage später folgte AirDroid 4.0.1 inklusive der bekannten Schwachstelle. Am 1. Dezember 2016 legte Zimperium die Sicherheitslücke offen, am 2. Dezember reagierte Sand Studio mit seiner Bekanntmachung. Sonst ist nichts passiert und der gefährliche Fehler wurde auch nach mehr als einem halben Jahr nicht korrigiert. Das ist nicht akzeptabel für eine App mit 489.890 Nutzern (Stand 5. Dezember 2016 um 12:15 Uhr).

Sand Studio versucht es mit Nebelkerzen
In seiner Stellungnahme mit dem Titel "You deserve our explanation with full transparency" zündet Sand Studio in erster Linie Nebelkerzen. Weder nennen die Entwickler Zimperium noch verweisen sie auf deren Offenlegung der Sicherheitslücke. Stattdessen wird über ein Missverständnis mit einem Blog geschrieben:
"There's a misunderstanding between us and the blog which thought we didn't keep our promise to improve."
Weiter heißt es, man habe sofort Maßnahmen ergriffen:
"We did take an immediate reaction right after become aware the possible security issue."
Mehr als sechs Monate ohne eine Lösung mit dem Wörtchen "sofort" zu umschreiben, darf als gewagt bezeichnet werden. Offenbar waren alle Entwickler mit dem Sprung auf die Version 4.0 beschäftigt und konnten sich nicht mit solchen Kinkerlitzchen wie einer ungenügenden Verschlüsselung beschäftigen. Nun, ein halbes Jahr später, will Sand Studio aber so richtig Gas geben:
"We now catch up the timeline and will ship a security update as soon as possible."
Obwohl die Entwickler ihre Prioritäten auf den Versionssprung gesetzt hatten und dies auch so schreiben, heißt es im nächsten Satz, dass die Sicherheit immer Vorfahrt habe:
"We want to emphasize that your security is our first priority"
Zum Abschluss rät Sand Studio, AirDroid nicht in offenen WLAN-Netzen zu verwenden, schließlich wurde die App immer noch nicht abgesichert. Selten war eine Stellungnahme eines Unternehmens derart offenkundig widersprüchlich wie diese. Dies haben auch die Benutzer erkannt, die sich in den Kommentaren bitterlich über die Sicherheitspolitik der Entwickler beklagen. Oder verkürzt formuliert: FAIL! FAIL! FAIL!

Quelle:
https://blog.zimperium.com/analysis-of- ... -airdroid/
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .
Antworten