Thunderbird heeft een beveiligingsonderzoek naar Android-app K-9 gepubliceerd. Deze app vormt het fundament voor de mobiele versie van Thunderbird. Al jaren is Thunderbird beschikbaar voor desktops, maar een mobiele versie ontbreekt, ook al is dit iets waar gebruikers al lang om vragen. K-9 Mail is in meerdere appstores beschikbaar en telt alleen in de Google Play Store meer dan vijf miljoen downloads.
De hoofdontwikkelaar van K-9 Mail, Christian Ketterer, is sinds vorig jaar onderdeel van het Thunderbird-ontwikkelteam. Het plan is om K-9 Mail te veranderen in Thunderbird voor Android. Zowel de naam van K-9 Mail als de vormgeving van de mail-app zullen dan verdwijnen. Als onderdeel van de transformatie van K-9 naar Thunderbird heeft er ook een security-audit plaatsgevonden. Het onderzoek richtte zich specifiek op threat modeling, fuzzing en de veiligheid van de software supply-chain.
De audit leverde meerdere kwetsbaarheden op, maar geen enkele die als kritiek is aangemerkt. Alle gevonden beveiligingslekken vallen in de categorie "low" en "medium". Het grootste deel daarvan is inmiddels verholpen of zal binnenkort een update ontvangen, aldus Jason Evangelho van Thunderbird. Verder blijkt dat de Android-app geen gevoelige data naar derde partijen stuurt en het lekken van informatie via logberichten en Androidback-ups voorkomt.
Daarnaast blijkt de software bestand tegen man-in-the-middle (MitM) aanvallen tegen versleutelde communicatie en "deeplink aanvalsvectoren", waarmee een aanvaller gevoelige informatie van gebruikers kan stelen. "Omdat het de basis vormt voor de toekomstige Thunderbird op Android, vinden we het belangrijk om in de security van de software te investeren", aldus Evangelho. Wanneer Thunderbird voor Android precies verschijnt is onbekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.