De makers van de Android-app AirDroid zullen binnen twee weken met een beveiligingsupdate komen voor een kwetsbaarheid die zeven maanden geleden al werd gerapporteerd en deze week door beveiligingsonderzoekers werd onthuld. Via AirDroid kunnen gebruikers hun Android-smartphone of -tablet vanaf Windows, Mac of het web beheren. Het is volgens statistieken van Google Play tussen de 10 miljoen en 50 miljoen keer geïnstalleerd.
Onderzoekers van beveiligingsbedrijf Zimperium ontdekten een kwetsbaarheid in de app waardoor gebruikers kwetsbaar voor man-in-the-middle (mitm) aanvallen zijn. Aanvallers kunnen zo gegevens stelen en in het ergste geval via kwaadaardige updates malware op toestellen installeren. De ontwikkelaars van AirDroid werden eind mei door Zimperium gewaarschuwd en bevestigden toen ook de kwetsbaarheid. Inmiddels zijn er twee updates voor de app uitgekomen, maar is de kwetsbaarheid zeven maanden later nog altijd aanwezig. Daarop besloten de onderzoekers de details afgelopen donderdag vrij te geven.
Gisteren kwam AirDroid met een reactie. Daarin stellen de ontwikkelaars dat AirDroid een complexe applicatie is en het bedrijf eerder dit jaar met een herstructering te maken kreeg. Inmiddels zou het werk weer op schema liggen en zal er binnen twee weken een beveiligingsupdate voor het lek worden uitgebracht. In de tussentijd worden AirDroid-gebruikers gewaarschuwd voor het gebruik van onbekende wifi-netwerken. Via dit soort netwerken kan een aanvaller de kwetsbaarheid uitbuiten.
Gebruikers zijn zeer kritisch op de "volledige transparantie" van de AirDroid-ontwikkelaars. Zo vragen ze zich af waarom er ondanks de lancering van een grote versie geen update voor de kwetsbaarheid is uitgekomen. Ook hekelen ze de reactie die pas verscheen nadat het bedrijf negatief in de media kwam. Verder vragen gebruikers zich af waarom het AirDroid-team dacht dat het een goed idee was om de eigen encryptie-oplossing te gebruiken en vragen ze of derde partijen nu de code van de Android-app mogen controleren.
Deze posting is gelocked. Reageren is niet meer mogelijk.