AirDroid heeft een bèta uitgebracht van de app-versie die lekken dicht waar de ontwikkelaars al zeven maanden van wisten. Beveiligingsbedrijf Zimperium openbaarde de lekken vorige week, waarna AirDroid een fix beloofde.

AirDroid zei vrijdag in een statement tegen Tweakers dat de app binnen twee weken een update zou krijgen en lijkt nu woord te houden. Volgens AndroidPolice heeft versie 4.0.0.2 van de app de fixes aan boord. Gebruikers die in het bètaprogramma zitten, kunnen de nieuwe versie al installeren. Gebruikers van de stabiele versie moeten nog geduld hebben.

Door de kwetsbaarheid kunnen kwaadwillenden op hetzelfde netwerk als een telefoon en pc met AirDroid een man-in-the-middle-aanval uitvoeren, waardoor de inlognaam en het wachtwoord van een gebruiker te achterhalen zijn. Bovendien kunnen gebruikers willekeurige apk-installatiebestanden naar het Android-apparaat sturen. Dat kan bijvoorbeeld malware zijn. Gebruikers moeten voor installatie nog wel op 'installeren' drukken.

De kwetsbaarheid leunt erop dat AirDroid een ingebouwde, vaste code heeft voor de beveiliging van de verbinding. Daardoor kan elke aanvaller de inlognaam en wachtwoord decoderen en zich vervolgens voordoen als het Android-apparaat in communicatie met de pc. De ontwikkelaar erkende het lek op 30 mei.

Het niet patchen van lekken in apps leidt ertoe dat gebruikers kwetsbaar blijven voor aanvallen. Nu de methode van de aanval in de openbaarheid is gekomen, is het voor aanvallers makkelijker om een exploit te maken voor dit lek.

AirDroid is een applicatie voor draadloze communicatie tussen een pc en een Android-apparaat. Zo kunnen gebruikers onder meer notificaties van het apparaat ontvangen op de pc en antwoorden versturen. AirDroid heeft in de Play Store tussen tien en vijftig miljoen downloads.

Reacties mogelijk gemaakt door CComment