Asus fixt schwerwiegende Sicherheitslücke in WebStorage

Die Client-Software WebStorage gehört zu einer Reihe von Apps, die Asus auf seinen Android-Geräten ab Werk installiert. heise netze hatte bei Routine-Kontrollen einen Implementierungsfehler aufgedeckt.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge
Von

Die WebStorage-App für den gleichnamigen Onlinespeicher hat ein stilles Update erhalten. Der Hersteller Asus hat die Client-Software in Google Play aktualisiert, nachdem heise netze bei Routineprüfungen eine schwerwiegende Sicherheitslücke gefunden und dem Hersteller direkt gemeldet hatte.

Asus hat seine WebStorage-App wie erwartet für die SSL-verschlüsselte Kommunikation mit seiner Cloud ausgelegt. Dies war jedoch so ungeschickt implementiert, dass die Software beliebige SSL-Schlüssel und -Zertifikate akzeptierte, anstatt nur das Zertifikat und den Schlüssel von Asus. Deshalb ließ sich zumindest in der geprüften Version 2.0.9.7381 vom 30.08.2013 der gesamte Verkehr einschließlich der Zugangsdaten trotz Verschlüsselung sehr leicht mitlesen (Angriffsszenario Man-in-the-Middle). Ob ältere Versionen betroffen sind, ist unklar.

Unerwünschtes Sharing auch möglich: Die WebStorage-App nahm in zumindest einer älteren Version SSL-Schlüssel und -Zertifikate aus beliebigen Quellen an, sodass sich der Verkehr zwischen Android-Gerät und Asus-Cloud leicht mitlesen ließ.

Die WebStorage-App gehört zu einer Reihe von Apps, die Asus auf seinen Android-Geräten ab Werk installiert, Voraussetzung dafür ist Android 2.2. Nach einer Anmeldung gewährt das Programm dem Nutzer kostenlosen Zugriff auf Onlinespeicherplatz, den Asus auf eigenen Servern eingerichtet hat. Wie andere Cloud-Clients synchronisiert WebStorage auch Fotos mit der Cloud; die Software eignet sich, um Dokumente mit anderen Nutzern zu teilen. Laut Google Play haben die App zwischen ein und fünf Millionen Android-Nutzer installliert. Geräte, die die App enthalten und hinsichtlich der Updates noch gemäß Android-Voreinstellung konfiguriert sind, sollten sie bei der nächsten Verbindungsaufnahme mit Google Play selbstständig aktualisieren. Die aktuelle Version trägt die Nummer 2.0.10.7381. (dz)