App AirDroid fikst zeven maanden geleden erkend beveiligingsprobleem - update

De Android-applicatie AirDroid heeft zeven maanden geleden het bestaan van een lek in zijn applicatie erkend, maar heeft ondanks dat er sindsdien updates zijn uitgekomen, nog geen fix uitgebracht. Dat claimt beveiligingsbedrijf Zimperium.

Volgens de tijdlijn van Zimperium, die vorig jaar het Stagefright-lek in Android aan het licht bracht, stelde het beveiligingsbedrijf de ontwikkelaar van AirDroid op 24 mei op de hoogte. De ontwikkelaar erkende het lek op 30 mei. Sindsdien kwam de grote nieuwe versie 4.0 van AirDroid uit, maar daarin zit geen fix. Ook in de daaropvolgende 4.0.1 blijkt AirDroid nog steeds kwetsbaar, stelt Zimperium. De ontwikkelaar heeft nog niet laten weten wanneer de fix wel komt.

Door de kwetsbaarheid kunnen kwaadwillenden op hetzelfde netwerk als een telefoon en pc met AirDroid een man-in-the-middle-aanval uitvoeren, waardoor de inlognaam en het wachtwoord van een gebruiker te achterhalen zijn. Bovendien kunnen gebruikers willekeurige apk-installatiebestanden naar het Android-apparaat sturen. Dat kan bijvoorbeeld malware zijn. Gebruikers moeten voor installatie nog wel op 'installeren' drukken.

De kwetsbaarheid leunt erop dat AirDroid een ingebouwde, vaste code heeft voor de beveiliging van de verbinding. Daardoor kan elke aanvaller de inlognaam en wachtwoord decoderen en vervolgens zich voordoen als het Android-apparaat in communicatie met de pc.

Het niet fiksen van kwetsbaarheden in apps leidt ertoe dat gebruikers kwetsbaar blijven voor aanvallen. Nu de methode van de aanval in de openbaarheid is gekomen, is het voor aanvallers makkelijker om een exploit te maken voor dit lek.

AirDroid is een applicatie voor draadloze communicatie tussen een pc en een Android-apparaat. Zo kunnen gebruikers onder meer notificaties van het Android-apparaat ontvangen op de pc en antwoorden versturen. AirDroid heeft in de Play Store tussen tien en vijftig miljoen downloads.

Update, 16:06: AirDroid laat weten aan Tweakers dat de applicatie binnen twee weken een update krijgt die het probleem oplost. "Hou alsjeblieft vertrouwen in ons", aldus topvrouw Betty Chen. "We werken eraan om de tijd die het kost te verminderen om dit sneller mogelijk te maken."

Door Arnoud Wokke

Redacteur Tweakers

02-12-2016 • 07:20

54

Reacties (54)

54
54
28
0
0
17
Wijzig sortering
Of ze weten niet hoe ze het moeten fixen of ze vinden het niet van belang.Reden genoeg lijkt me om de app niet meer te gebruiken en voor Google om de app uit de store te halen. Als je dit weet moet je je conclusies zelf ook trekken...
Ik vind het wel straf want deze app heeft echt wel heel veel permissions...

Ik heb het ook gewist van mijn androids en heb in de plaats de samsung side sync geinstalleerd dat hetzelfde doet, je kan er zelf mee bellen via je laptop.

[Reactie gewijzigd door sebastienbo op 22 juli 2024 14:37]

Firewall dichtzetten voor deze app (bijv. AfWall+) en klaar is Clara.
Dan kan deze app internet niet op en kun je alleen binnen hetzelfde lokale wifi netwerk er bij, wat ook meestal voldoende is.
Het idee van een MITM attack is meestal dat dit dus op het lokale netwerk gebeurd. Firewall heeft dan dus totaal geen nut.
Maar dit is toch geen all die je op een openbaar netwerk gaat gebruiken? Ik zou mezelf iig wel 2 x achter de oren krabben voor ik deze zou gebruiken in de bieb of trein.
Nouja ik dus niet want waarom zou ik? Deze app hoort gewoon veilig te zijn en dat kan ook makkelijk. Ik gebruik ook gewoon icloud en google drive op openbare plaatsen als ik een bepaald bestand moet hebben. Het is een vrij domme implementatie fout die al ruim een half jaar onopgelost is. Een hardcoded vaste reeks die voor alle (50 miljoen) instanties hetzelfde is kan gewoon niet gebruikt worden als versleuteling voor wachtwoorden als het geen asymmetrische versleuteling is.
In een openbaar netwerk zet ik het lokale netwerk dicht dmv PIA VPN (andere VPNs hebben dat meestal ook).
Daar zit een slot op het lokale netwerk zodat je *alleen* internet op kan en dan nog via de VPN.
Voor file transfer gebruik ik gewoon ssh binnen het lokale netwerk.
Met SSHDroid (werkt ook zonder root).
Vanaf een computer (macos en Linux hebben standaard SSH client) en voor Windows heb je WinSCP.

[Reactie gewijzigd door skatebiker op 22 juli 2024 14:37]

Met AfWall+, zoals skatebiker hierboven aanhaalt, kun je je WLAN ook beperken. Een firewall is niet enkel en alleen voor externe netwerken.

edit: context verkeerd begrepen

[Reactie gewijzigd door Aurora op 22 juli 2024 14:37]

Hij omschrijft thans wel "het internet op". Supersnathan94 zijn reactie is dan toch wel een terechte opmerking.
Het nadeel van Side Sync, in ieder geval bij oude versies, was dat je andere telefoons in hetzelfde netwerk kon overnemen.
Heb je hier een link van ?
Ik heb AirDroid al een tijd geleden verwijderd en ben AirMore gaan gebruiken, dat ook ongeveer dezelfde functionaliteit biedt. Inmiddels gebruik ik dat ook niet meer, maar misschien dat het voor iemand anders nog nuttig is.
Er kan mogelijk ook nog een belang zijn om het juist niet te doen. Dit geeft natuurlijk kansen. Vooral als de app populair is dan zou het zo maar kunnen zijn dat ze daar een leuke bijdrage voor krijgen om het bewust zo te laten.
Als een bug eenmaal bekend is, dan weet je dat het gepubliceerd kan gaan worden. Het expres laten zitten is dan echt het allerdomste dat je kan doen. Gebruikers zullen weglopen, je naam gaat onderuit - en dan ben je ook meteen alle opties om backdoors in te bouwen in je app kwijt omdat je geen bereik meer hebt; immers zijn je gebruikers weg.

Het lijkt me dus stug dat dit het idee erachter is.
Denkende dat het gebruikers ook maar iets kan schelen of dat zij allemaal beveiligings blogs lezen.

Gebruikers van apps zijn schapen, allemaal... nou ja bijna allemaal en de meeste zullen dus simpel weg dat doen wat de kudde doet en wat het minst pijnlijk is want: "Ik heb toch niets te verbergen".
En dus is er helemaal geen noodzaak om deze bug te fiksen, de kans dat je een klein percentage van je gebruikers verliest vs. de kosten die je moet maken om de verandering in de core van je applicatie te fiksen dat is de moeite niet. Daarnaast kon het wel eens heel goed zijn dat de core simpel weg een library is die ooit door een van de eerste developers is gemaakt en men in middels weinig tot niets meer weet van hoe dat nu eigenlijk echt werkt...

Het bewust laten zitten van zo'n bug is hoogst waarschijnlijk niets meer dan onkunde dan wel een overweging tussen kosten van het oplossen en die paar klanten die vertrekken.
Hebben ze het bij het juiste eind om dit niet op te lossen dat is een andere vraag maar ik betwijfel ten zeerste dat die een kwestie is van geld ontvangen voor het behoud van deze "backdoor" zo als hier boven wordt gesuggereerd.
Gebruikers zijn geen schapen, ze maken een onbewuste risico inschatting. De kans dat er op jouw netwerk iemand deze bug kan en wil misbruiken, en er vervolgens ook nog eens iets met veel impact mee gaat doen is gewoon buitengewoon klein. De kans op een dodelijk auto ongeluk is ws groter.

Dat tweakers er helemaal drama drama over doen doet daar niets aan af.
Dat is 't eerste wat ik dacht; "wat als dit een bewuste 'bug' is waar ze omheen draaien".
Het valt wel mee he. Ik gebruik de app om thuis of op het werk data van telefoon naar PC te kopieren. Er zal op ons lokaal netwerk geen aanvaller zijn.
Desalniettemin goed dat Tweakers het meldt, een beetje meer exposure zorgt misschien voor een snelle fix.

edit: de commentaren onder wijzen erop dat een man-in-the-middle overal tussen mij en de Airdroid-server me rotzooi kan sturen. In het tweakers-bericht lijkt het echter dat alleen iemand op mijn WLAN een probleem kan maken. Mochten de commentaren onder kloppen, das is het lek ook voor mij serieus.

[Reactie gewijzigd door _Pussycat_ op 22 juli 2024 14:37]

Een MitM aanval kan in principe overal tussen jou en de server plaats vinden, maar buiten je lokale netwerk is het wel erg complex. Het wordt over het algemeen op je locale netwerk gedaan.

Jij zegt dat het bij jou op je werk en thuis niet zal gebeuren, maar een kwaadwillend iemand kan ook indien je wifi hebt gewoon langs je huis of werk rijden, even parkeren, en vanuit daar met zijn laptopje een MitM aanval uitvoeren. Dan moet hij wel wat moeilijker doen dan als hij al gewoon toegang tot je Wifi heeft zoals je collega's, maar het is zeker mogelijk bij Wifi met slechte beveiliging, wat nog erg veel voorkomt.

[Reactie gewijzigd door unilythe op 22 juli 2024 14:37]

Ben benieuwd wat de redenen zijn voor een dergelijk grote app om niet zsm met een fix voor dit security issue te komen. Tijd genoeg intussen verstreken, dunkt mij.
Misschien zijn ze technisch niet in staat om het lek te dichten? Kennisgebrek kan ook een reden zijn.
dat denk ik niet :-)
De kwetsbaarheid leunt erop dat AirDroid een ingebouwde, vaste code heeft voor de beveiliging van de verbinding. Daardoor kan elke aanvaller de inlognaam en wachtwoord decoderen en vervolgens zich voordoen als het Android-apparaat in communicatie met de pc.
het begint hier al mee en dat is gwn basis. Dus ik denk of geen tijd (onderbemand) of geen prioriteit (management)
Ze hebben wel een gehele nieuwe versie uitgebracht in de tussentijd dus aan tijd lijkt het niet te liggen.
Is dit een android ding, dat dat zo maar wordt toegelaten/toegestaan. Google geeft windows lekken vrij in een week en in hun eigen store laten ze dit gewoon toe? Beetje vreemd beleid.
google kan ook moeilijk op de hoogte zijn van elk beveiligingsprobleem op deze planeet, waarschijnlijk wist google niets van dit lek af en heeft Zimperium dit enkel aan het Airdroid team doorgegeven.
heeft dus weinig tot niets te maken met google's beleid.
Kan aan mij liggen, maar dit betekent dat elke app potentieel een probleem op beveiliging is en machine open kan gooit?
De SDK van Android zou dit moeten testen en voorkomen. Lijkt me wel degelijk een verantwoording van Android en daarmee Google.
Lijkt me niet, ik vermoed dat Google deze app gaat verwijderen uit de Play Store
"We hebben de technische kennis niet", dat is een heel slecht excuus. Als serieus, professioneel bedrijf kun je dan desnoods een expert voor een paar weken inhuren die je helpt om het probleem op te lossen.
Even advocaat van de duivel spelend:

Waarom zouden ze de bug fixen?
Mensen blijven de software gewoon gebruiken.
Afgezien van een boze mail en een enkel artikeltje op een techsite heeft nog nooit iemand van dit probleem gehoord en eigenlijk zijn de meeste mensen er ook niet in geinteresseerd zolang de app maar werkt.
Bugs fixen kost maar geld en tijd en het levert, zeker bij security bugs, weinig concreet voordeel op. Zolang ze het niet in hun portemonnee voelen zullen een hoop bedrijven niks doen.
Zolang ze het niet in hun portemonnee voelen zullen een hoop bedrijven niks doen.
Maar dat is iets wat wel zou kunnen natuurlijk. De beheerder van de Appstore kan stellen dat deze App niet aan de kwaliteitsnormen voldoet en deze uit de store verwijderen. Ze kunnen eventueel zelfs de App remote de-installeren omdat deze een veiligheidsrisico is. Dat zou echter wel moeten betekenen dat de App store beheerders hun taak serieus nemen en duizenden Apps moeten bewaken (iets wat met de 30% afroomfactor misschien niet eens teveel gevraagd zou zijn).
Correct, dat is een beetje waar ik heen wil. Zolang beveiliging vrijblijvend is en niemand toezicht houdt zal het fout blijven gaan. Iemand zal moeten bloeden als het fout gaat. Technisch gezien is de appstore een logische plek om dat soort controles te doen. Ook vanuit de consumentenbescherming is dat de logische plek, als consument heb je namelijk alleen met de verkoper te maken. Die is verantwoordelijk voor de producten die hij verkoopt en mag die verantwoordelijkheid niet afschuiven op de fabrikant.
Ik zie de appstores nog wel argumenteren dat ze slechts tussenpersoon zijn en dat de klant rechtstreeks zaken doet met de ontwikkelaar maar ik denk dat ze daar niet mee wegkomen.

Ik zou het interessant vinden als we ooit verschillende app-stores krijgen die elkaar (oa) beconcurreren op de veiligheid van hun apps. Stel je voor dat beveiliging niet langer de schaamlap van de industrie is maar iets waar bedrijven trots op zijn. Denk aan hoe trots OpenBSD is op het geringe aantal beveilingsproblemen. Geef iedere appstore een "X dagen sinds het laatste gat"-teller. Laat ze vergoedingen en compensaties beloven als er toch gaten gevonden worden. Ik weet het, dat is in het huidige beveiligingslandschap een illusie, maar het zou het mooi zijn en het is niet volledig onhaalbaar.
Waarom kunnen ze bij de Google Play store de app niet een soort op inactief zetten of een melding weergeven dat er beveiligingsfouten in de app zitten en dat gebruik bepaalde risico's met zich meebrengt. Wellicht wordt de app nu gedownload door velen die niet weten dat er een groot lek in zit.
Bij het zien van het filmpje vraag ik me wel af of deze aanval constant mogelijk is, of uitsluitend tijdens de first run van AirDroid waar blijkbaar om additionele software wordt gevraagd? Als alleen op dat moment de exploit mogelijk is, dan is het natuurlijk alsnog slecht en gevaarlijk - maar snap ik wel dat het niet de allerhoogste prioriteit krijgt om te fixen, immers is de window of opportunity dan wel heel erg klein tenzij je toevallig precies weet wanneer iemand het installeert en dan ook nog op hetzelfde netwerk zit. Al zou je iemand natuurlijk over kunnen halen het te installeren...

-edit-
Laat maar, zie het al. Hij spoofed de "update request", die over http gaat :'), dus helaas is dit blijkbaar inderdaad altijd mogelijk - en niet enkel on first run. Bleh, dat is triest. :/ Hoe ze dat 6+ maanden kunnen negeren... o0

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 14:37]

Als het een willekeurige apk bestand naar de telefoon kan sturen wordt deze dan ook meteen geinstalleerd en is deze dan ook uitvoerbaar?

Als dit zo is dan is er toch ook een probleem met de applicatie sandbox?
In het artikel staat:
Bovendien kunnen gebruikers willekeurige apk-installatiebestanden naar het Android-apparaat sturen. Dat kan bijvoorbeeld malware zijn. Gebruikers moeten voor installatie nog wel op 'installeren' drukken.

Gebruikers moeten dus nog wel op installeren klikken. Maar als je kijkt hoe mensen op pc's werken acht ik de kans vrij groot dat het gros direct op installeren zal klikken, zonder te kijken welke app wordt geïnstalleerd. Daarnaast is het goed mogelijk dat de malware app er uitziet als (bijvoorbeeld) whatsapp voor iemand die niet goed oplet.
Is het niet vreemd dat een app een apk kan binnenhalen? Dat lijkt me niet de bedoeling.
Zoals in het filmpje te zien is, lijkt het er heel erg op dat AirDroid vraagt je iets te installeren dat noodzakelijk is. Daar ontstaat kennelijk een window of opportunity om aan te vallen, en dan is het ook volstrekt logisch dat mensen altijd op "installeer" zullen tikken.
AirDroid werkt met 'addons', deze kun je ook op deze manier installeren. Dus inderdaad worden gebruikers lekker gemaakt met het installeren en updaten van een zogenaamde addon wat dan een .APK is die potentieel kwaadaardig is. Het staat wat beter uitgelegd op Android Police:
The security issues are mainly due to AirDroid using the same HTTP request to authorize the device and send usage statistics. The request is encrypted, but uses a hardcoded key in the AirDroid application (so essentially, everyone using AirDroid has the same key). Attackers on the same network an intercept the authentication request (commonly known as a Man-in-the-middle attack) using the key extracted from any AirDroid APK to retrieve private account information. This includes the email address and password associated with the AirDroid account.

But this gets even worse. Attackers using a transparent proxy can intercept the network request AirDroid sends to check for add-on updates, and inject any APK they want. AirDroid would then notify the user of an add-on update, then download the malicious APK and ask the user to accept the installation.
Vind het sowieso al kwalijk dat ze een hardcoded key hebben die voor iedereen hetzelfde is.
Dat is niet precies wat ik bedoel. Hoe kan het mogelijk zijn dat een app die je geinstalleerd uberhaupt de mogelijkheid heeft om een andere apk binnen te halen en de installatieprocedure kan starten.
Android staat toe om uit onbekende bron te installeren en signed.
Apps mogen natuurlijk gewoon downloaden wat ze willen, dus daar vallen apk's ook onder. Dat ze de APK ook kunnen openen zonder extra waarschuwingen is misschien wat apart ja, maar het is niet heel vreemd als je kijkt naar Android an sich dat het mogelijk is om APK's te downloaden en te openen. Je mag opdracht geven een bestand te openen, dus ook een APK.

Ik zou wel voorstander zijn dat Android dit standaard uitschakelt, en je dus specifiek (naast onbekende bronnen, die je ook specifiek en met meerdere waarschuwingen zelf moet inschakelen) moet instellen dat je dit wél mogelijk wil maken. Maarja, leg dat maar uit aan de gemiddelde consument.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 14:37]

Ah, thanks voor de uitleg.
Je zet toch standaard de optie 'security => Unknown sources' toch UIT ?
Als ik toch iets wil sideloaden dan zet ik hem even aan, installeer de app en zet het weer uit.

Als Airdroid dat onder de tafel aanzet zonder een prompt aan de gebruiker dan vind ik dat onveilig.

[Reactie gewijzigd door skatebiker op 22 juli 2024 14:37]

Die staat standaard al uit, die moet je expliciet inschakelen - wat ik ook zei :P
Mensen zijn lui overigens, dus de meesten zullen het waarschijnlijk gewoon aan laten staan, eenmaal ingeschakeld.
Nee dat is niet vreemd met het open karakter van Android. Als dat niet zou kunnen dan zit je in een walled garden a la iOS waar je alleen apps kunt installeren via de officiële store en zijn bv stores als die van Amazon niet mogelijk.
Ook zijn er redelijk wat management apps die dit soort functionaliteit gebruiken, waarmee je als beheerder bv een nieuwe bedrijfs app naar alle medewerkers kunt pushen.
Deze app gebruikt het zodat je vanaf je pc de mogelijkheid hebt om apps te installeren.
"....beveiligingsbedrijf de ontwikkelaar van Android op 24 mei op de hoogte."

AirDroid i.p.v. Android toch?
Op zo'n moment ben ik toch blij dat ik niet naar dit soort software heb hoeven grijpen, maar gewoon SideSync van Samsung kan gebruiken voor m'n telefoon.
iOS is te duur en gesloten, Windows draait zichzelf de nek om. Wat wordt het OS wat gaat concurreren met Android? Volgens mij is er echt wel een aanzienlijk percentage van de Android gebruikers rijp om over te stappen naar iets wat goedkoper en/of meer open is dan iOS maar wel fundamenteel goed opgezet is qua security en performance.
Maar hoe weet je nu of je nu kwetsbaar bent of niet? Ik heb Airdroid ook gehad. Als je de app hebt verwijderd, is het dan ook echt weg?

[Reactie gewijzigd door michielokt op 22 juli 2024 14:37]

Anoniem: 422879 2 december 2016 15:38
Meteen van m'n telefoon verwijderd. Gebruikte het toch eigenlijk nooit meer.
Nothing beats a good ol' fashioned USB cable :Y)

Op dit item kan niet meer gereageerd worden.