Miljoenen gebruikers van de populaire Android-app AirDroid zijn kwetsbaar voor man-in-the-middle (mitm) aanvallen waardoor een aanvaller gegevens kan stelen en in het ergste via kwaadaardige updates malware op toestellen kan installeren, zo meldt beveiligingsbedrijf Zimperium.

Via AirDroid kunnen gebruikers hun Android-smartphone of -tablet vanaf Windows, Mac of het web beheren. Het is volgens statistieken van Google Play tussen de 10 miljoen en 50 miljoen keer geïnstalleerd. De app maakt volgens Zimperium echter gebruik van onveilige communicatiekanalen om dezelfde gegevens te versturen die het gebruikt om het toestel bij de statistiekenserver te authenticeren. De verzoeken zijn versleuteld, maar de encryptiesleutel is hardcoded in de applicatie en daarom voor iedereen toegankelijk.

Een aanvaller die zich op hetzelfde netwerk bevindt als de gebruiker kan een man-in-the-middle-aanval uitvoeren om inloggegevens te stelen en zich voor verdere verzoeken als de gebruiker voor te doen. Ook blijkt het mogelijk te zijn om AirDroid kwaadaardige updates aan te bieden. De app zal gebruikers namelijk waarschuwen voor de beschikbaarheid van een nieuwe versie. Een aanvaller kan hiervan gebruik maken om zijn eigen kwaadaardige update aan te bieden, die vervolgens nog wel door de gebruiker moet worden geïnstalleerd.

De ontwikkelaars van AirDroid werden eind mei door Zimperium gewaarschuwd en bevestigden toen ook de kwetsbaarheid. Inmiddels zijn er twee updates uitgekomen, maar is de kwetsbaarheid zeven maanden later nog altijd aanwezig. Daarop heeft Zimperium besloten de details van de kwetsbaarheid vrij te geven. In onderstaande video wordt de kwetsbaarheid gedemonstreerd. Vorig jaar werd er ook al een beveiligingslek in AirDroid ontdekt waardoor aanvallers toestellen konden overnemen.