Sicherheitslücke in populärer Android-App

AirDroid-Nutzer in Gefahr

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

AirDroid verwaltet Android-Smartphones und -Tablets vom PC oder Mac aus. Die aktuelle Version enhält allerdings schwerwiegende Sicherheitslücken.
AirDroid verwaltet Android-Smartphones und -Tablets vom PC oder Mac aus. Die aktuelle Version enhält allerdings schwerwiegende Sicherheitslücken. (Bild: AirDroid)

Wer sein Android-Smartphone mittels der App AirDroid vom PC oder Mac verwaltet, sollte diese zunächst deaktivieren. Forscher haben mehrere Sicherheitslücken gefunden, über die Angreifer Daten auslesen und manipulierte Updates einspielen können.

AirDroid ist eine Remote-Lösung für Android. Die App spiegelt die Inhalte des Smarpthones auf eine Mac- oder Windows-PC, als Nutzer kann man darüber SMS verschicken, Chats in WhatsApp und Co nutzen oder auf die Daten des Smartphones zugreifen. Das Problem: Bis inklusive zur Version 4.0 enthält AirDroid zahlreiche Sicherheitslücken, wie die Sicherheitsforscher von Zimperium berichten. Diese ermöglichen Man-in-the-Middle-Angriffe, den Zugriff auf Informationen oder sogar das Einspielen von manipulierten APK-Installationsdateien. Für eine erfolgreiche Attacke muss sich der Angreifer im selben Netzwerk wie das Opfer befinden – ein Hotspot WLAN reicht hier allerdings schon aus.

Problem: Verschlüsselung leicht knackbar

AirDroid verschlüsselt den Großteil des Datenaustauschs per HTTPS, allerdings wird ein Teil der Kommunikation nur per HTTP übertragen. Dazu gehören auch Authentifizierungsdaten, die das Geräte an den Statistik-Server des Unternehmens schickt. Zwar sind diese Informationen wiederum per DES (ECB Mode) verschlüsselt, der dafür notwendige Key ist allerdings fest in der App hinterlegt und lässt sich relativ einfach auslesen.

Mit dem Schlüssel bewaffnet kann ein Angreifer die Authentifizierungsdaten decodieren, die ein legitimer AirDroid-Nutzer zum Server des Dienstes schickt. Darin enthalten sind sensitive Informationen, etwa die Geräte-ID, die Account-ID sowie die IMEI- und IMSI-Nummern. Hat der Angreifer diese Daten, kann er wiederum eine Anfrage an den AirDroid-Server stellen (verschlüsselt mit dem hartcodierten Key) und erhält zusätzliche Informationen zum Nutzer, darunter dessen Account-Daten bei AirDroid samt Passwort-Hash.

Einspeisen modifizierter Updates

Über Man-in-the-Middle-Attacken können Angreife den HTTP-Datenverkehr über einen Proxy unter ihrer der Kontrolle umleiten. So lassen sich die regelmäßigen Update-Prüfungen der AirDroid-App nutzen, um eine manipulierte, bösartige APK auf dem Gerät zu installieren. Der Update-Mechanismus erkundigt sich beim Server, ob eine neue Version vorliegt. Erhält er eine positive Rückmeldung, lädt sich die App das Paket herunter und informiert den Nutzer über die Aktualisierung.

Ob die heruntergeladene Datei tatsächlich von den AirDroid-Machern stammt, kann der Nutzer nicht einsehen. Gerade mit aktuellen Root-Exploits wie Rowhammer oder DirtyCow könnten Angreifer dies nutzen, um sich auf dem Android-Gerät Root-Rechte zu verschaffen und das komplette System zu übernehmen.

Schutz und Abwehr

Laut den Forschern von Zimperium ist auch die aktuellste Version der App anfällig für diesen Angriff, glücklicherweise ist er auf lokale Netzwerke beschränkt. Wer AirDroid für den Alltag unbedingt benötigt, der sollte die App nur nutzen, wenn er dem Netzwerk (und allen Teilnehmern) uneingeschränkt vertraut oder das (W)LAN komplett unter seiner Kontrolle hat.

Ansonsten helfen aktuell nur eine Deinstallation und das Hoffen auf ein Update. Im Blog der App versuchen sich die Entwickler an einer Erklärung: Die Umgebung sei kompliziert, vor allem für die Synchronisation über mehre Geräte hinweg. Aktuell arbeite man an einer Restrukturierung, allerdings solle bald ein Sicherheitsupdate bereitstehen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44412654 / Malware)