De Android-applicatie AirDroid heeft zeven maanden geleden het bestaan van een lek in zijn applicatie erkend, maar heeft ondanks dat er sindsdien updates zijn uitgekomen, nog geen fix uitgebracht. Dat claimt beveiligingsbedrijf Zimperium.
Volgens de tijdlijn van Zimperium, die vorig jaar het Stagefright-lek in Android aan het licht bracht, stelde het beveiligingsbedrijf de ontwikkelaar van AirDroid op 24 mei op de hoogte. De ontwikkelaar erkende het lek op 30 mei. Sindsdien kwam de grote nieuwe versie 4.0 van AirDroid uit, maar daarin zit geen fix. Ook in de daaropvolgende 4.0.1 blijkt AirDroid nog steeds kwetsbaar, stelt Zimperium. De ontwikkelaar heeft nog niet laten weten wanneer de fix wel komt.
Door de kwetsbaarheid kunnen kwaadwillenden op hetzelfde netwerk als een telefoon en pc met AirDroid een man-in-the-middle-aanval uitvoeren, waardoor de inlognaam en het wachtwoord van een gebruiker te achterhalen zijn. Bovendien kunnen gebruikers willekeurige apk-installatiebestanden naar het Android-apparaat sturen. Dat kan bijvoorbeeld malware zijn. Gebruikers moeten voor installatie nog wel op 'installeren' drukken.
De kwetsbaarheid leunt erop dat AirDroid een ingebouwde, vaste code heeft voor de beveiliging van de verbinding. Daardoor kan elke aanvaller de inlognaam en wachtwoord decoderen en vervolgens zich voordoen als het Android-apparaat in communicatie met de pc.
Het niet fiksen van kwetsbaarheden in apps leidt ertoe dat gebruikers kwetsbaar blijven voor aanvallen. Nu de methode van de aanval in de openbaarheid is gekomen, is het voor aanvallers makkelijker om een exploit te maken voor dit lek.
AirDroid is een applicatie voor draadloze communicatie tussen een pc en een Android-apparaat. Zo kunnen gebruikers onder meer notificaties van het Android-apparaat ontvangen op de pc en antwoorden versturen. AirDroid heeft in de Play Store tussen tien en vijftig miljoen downloads.
Update, 16:06: AirDroid laat weten aan Tweakers dat de applicatie binnen twee weken een update krijgt die het probleem oplost. "Hou alsjeblieft vertrouwen in ons", aldus topvrouw Betty Chen. "We werken eraan om de tijd die het kost te verminderen om dit sneller mogelijk te maken."