Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

AirDroid brengt fix uit voor zeven maanden lang bekend beveiligingsprobleem

Door , 12 reacties

AirDroid heeft een bta uitgebracht van de app-versie die lekken dicht waar de ontwikkelaars al zeven maanden van wisten. Beveiligingsbedrijf Zimperium openbaarde de lekken vorige week, waarna AirDroid een fix beloofde.

AirDroid zei vrijdag in een statement tegen Tweakers dat de app binnen twee weken een update zou krijgen en lijkt nu woord te houden. Volgens AndroidPolice heeft versie 4.0.0.2 van de app de fixes aan boord. Gebruikers die in het bètaprogramma zitten, kunnen de nieuwe versie al installeren. Gebruikers van de stabiele versie moeten nog geduld hebben.

Door de kwetsbaarheid kunnen kwaadwillenden op hetzelfde netwerk als een telefoon en pc met AirDroid een man-in-the-middle-aanval uitvoeren, waardoor de inlognaam en het wachtwoord van een gebruiker te achterhalen zijn. Bovendien kunnen gebruikers willekeurige apk-installatiebestanden naar het Android-apparaat sturen. Dat kan bijvoorbeeld malware zijn. Gebruikers moeten voor installatie nog wel op 'installeren' drukken.

De kwetsbaarheid leunt erop dat AirDroid een ingebouwde, vaste code heeft voor de beveiliging van de verbinding. Daardoor kan elke aanvaller de inlognaam en wachtwoord decoderen en zich vervolgens voordoen als het Android-apparaat in communicatie met de pc. De ontwikkelaar erkende het lek op 30 mei.

Het niet patchen van lekken in apps leidt ertoe dat gebruikers kwetsbaar blijven voor aanvallen. Nu de methode van de aanval in de openbaarheid is gekomen, is het voor aanvallers makkelijker om een exploit te maken voor dit lek.

AirDroid is een applicatie voor draadloze communicatie tussen een pc en een Android-apparaat. Zo kunnen gebruikers onder meer notificaties van het apparaat ontvangen op de pc en antwoorden versturen. AirDroid heeft in de Play Store tussen tien en vijftig miljoen downloads.

Arnoud Wokke

Redacteur mobile

8 december 2016 10:27

12 reacties

Linkedin Google+

Reacties (12)

Wijzig sortering
Ben ik de enige die de mitm vul niet zo erg vind?
Op mijn werk bijvoorbeeld, gebruik ik airdroid nooit over het corporate newerk.
Ik zet dan ff snel een los (usb)AP op, al dan niet met een vm of direct in mijn windows host.
Thuis gebruik ik unieke ww op alles, en ben ik niet bang dat snel mijn wifi gekraakt word, of dat 1 van mijn gasten ongemerkt mijn airdroid onderschept.
Ik moet eerlijk toegeven dat ik geen actieve wireshark tap heb, maar voor de rest alles redelijkerwijs beveiligd..
Het is knullige communcatie en niet echt safety 2.0 te noemen van de ontwikkelaar, maar waar ik het sporadisch voor gebruik (snel screenshots maken en snel bestanden overzetten) zie ik niet direct een probleem. Voor mensen die de app constant hebben draaien is het uiteraard wel anders. Niet meer gebruiken via public wifi alleszins ;)
Het grootste veiligheidslek van deze App is dat je hun server meteen toegang tot je apparaat geeft.
Om te communiceren tussen je PC en je apparaat binnen hetzelfde netwerk, is een internet verbinding en dus toegang tot hun servers niet nodig.
Als je deze app geen internet toegang geeft maar alleen lokaal netwerk (al is een openbaar wifi ook niet veilig), kun je gewoon http://[IP adres Android]:8888 aanroepen en dan hoef je alleen op je telefoon op een prompt 'ja' te zeggen.
Dan heb je ook geen login nodig voor hun site.

[Reactie gewijzigd door skatebiker op 8 december 2016 12:15]

Lekker betrouwbaar..
Ik zou persoonlijk de app vanaf nu compleet links laten liggen. Zo laat patchen, hoe betrouwbaar denk je dat je dan nog gevonden wordt?
Ligt eraan waarom niet gepatcht is. Als dit een (flinke) fout blijkt te zijn: dan zou ik het vertrouwen nog niet opgeven. Ze hebben namelijk wel relatief snel gepatcht nadat het lek is geopenbaard.

Ik heb nog niet gelezen waarom het patch niet eerder is gedicht. Helaas voor Airdroid ruikte het zaakje wel, dus het zal niet mijn eerste keus zijn, mocht ik een dergelijk programma willen gebruiken.
Dan zou uitleg op zijn plaats zijn, maar dat hebben ze niet en dan nog. Ze hebben in die 6 maanden wel een grote update uitgebracht (AirDroid 4), maar de fix lukte niet? Het lukte anders opeens wel nadat het lek openbaar was en uitgebreid in de media terecht was gekomen. Tsja, als je dan opeens wel je lek snel kunt dichten, maar het lukt niet in de 7 maanden dat je de tijd had nadat een bedrijf gericht op beveiliging je discreet laat weten dat er een lek is. Dat neemt mijn vertrouwen volledig weg.
That alone is bad enough, but Zimperium informed AirDroid of the problem a whopping seven months ago. During that time, a major 4.0 update was released, which still had the same security issues. Once Zimperium disclosed the information publicly, AirDroid put out a blog post in broken English without any real explanation.
http://www.androidpolice....al-rollout-expected-soon/

[Reactie gewijzigd door icratox op 8 december 2016 10:38]

Directe link naar blog post:
http://blog.airdroid.com/post/you-deserve-our-explanation/
Het is inderdaad nauwelijks Engels te noemen en met de excuses en redenering vraag je je af wat ze daar aan het doen zijn.
Due to the complexity of coding for a cross-screen management application like AirDroid, it is required to have a complete sync systematic coding across clients and server to ensure best possible experience for our users during this transition time, as the systematic amendment will not be completely compatible with the previous versions and some functions may be affected.
Het klinkt alsof tijdens de ontwikkeling ze de oude sync-code nodig hadden die waarschijnlijk op de beveiliging leunde? Het is inderdaad vaag en dus geen echte uitleg waarom het 7+ maanden moest duren.

[Reactie gewijzigd door ikt op 8 december 2016 10:47]

Wat ze zeggen is dat ze het probleem niet alleen in de client side maar ook in de server side moesten aanpakken en dat dit ervoor zorgde dat het allemaal niet meer met elkaar zou samenwerken.
Door deze openbaring *moesten* ze de kill switch wel omgooien waarmee de incompatible fix werd uitgerold.
N3rdSpeak + Chinlish/EastEuropean is altijd weer wennen ja :P
Dat bedoel ik dus. op 30 mei het probleem erkennen en dan al die tijd de applicatie online houden. En dan nu pas patchen nadat er wat meer mainstream media aandacht aan gegeven is.

Daar lijkt het in mijn ogen nl. op. Tot het T.net nieuwsbericht had ik er nog nooit van gehoord, maar stond wel braaf nog in de play store. Vind ik een best kwalijke zaak.
Haal 'm op z'n minst uit de play store.

Maar goed, dat ben ik :P en ik weet zeker niet alles.
Iets met een commercieel bedrijf?

Je App uit de Appstore halen is geen omzet meer, = faillissement en faillissement is nooit een bug meer oplossen.

Ik snap hoe de medetweakers dit probleem bekijken maar de grote vraag is, wat merkt de algemene gebruiker er van? Waarschijnlijk erg weinig en dan is het de vraag of de bug oplossen moeilijk is en tijdsintensief is.

maakt het niet beter maar wel begrijpelijk.
pas na 7 maanden - dat is veel te snel, daarvoor moet de firma achter airdroid gestraft worden - malware-makers hebben ook hun rechten... - nee, even serieus - pikken wij dat nog?
Uiteraard zijn zij opgenomen op m'n zwarte lijst - wat had u gedacht... 120 stuks staan er al op - en ik ben nog maar een paar maand bezig! (ah ja visa ga ik ook toevoegen - was ik bijna vergeten).

[Reactie gewijzigd door mutley69 op 8 december 2016 13:09]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*