In der App für den Asus-Onlinespeicher klafft eine bereits geschlossene Sicherheitslücke wieder auf. Das Zertifikat wird von der Webstorage-App für Android nicht überprüft und kann so nicht korrekt feststellen, mit welcher Gegenstelle sie beim Aushandeln einer verschlüsselten Verbindung spricht. Dadurch lassen sich Passwörter und Daten leicht abhören.

Selbst über Firmen-Firewalls hinweg baut die App so zwar eine Verbindung zu den Servers des Onlinespeichers auf, doch lässt dann auch ohne weiteres Zutun die Kommunikation zwischen App und Webstorage-Server mitlesen. Heise Netze hatte dieses Verhalten bereits im November 2013 bei einer Vorversion festgestellt und dem Hersteller gemeldet. Asus hatte in Version 2.0.10.7381 diesen schwerwiegenden Fehler behoben. Nun ist der Fehler in der aktuellen Version 2.1.3.7556 erneut aufgetaucht.

Auf seinen Android-Geräten installiert Asus die Webstorage-App vor und gewährt Asus-Nutzern kostenlosen Speicherplatz.Die App ist laut Google Play auf 5 bis 10 Millionen Geräten installiert. Webstorage steht, außer für Android, auch für iOS, Windows Phone, Windows. Mac OS X und Linux bereit. Die Windows-Version des Onlinespeichers macht alles richtig, beispielsweise blockiert sie Anmeldung und Verbindungsaufbau, wenn der SSL-Aufbau abgehört und manipuliert wird, während die Android-App bei den SSL-Tests versagt. Heise Netze hat die anderen von Webstorage versorgten Betriebssysteme bislang nicht untersucht.

(jk, hannover)

(siehe auch Heise-News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE