Webstorage-App von Asus schwächelt erneut bei SSL

Eine eigentlich behobene SSL-Lücke in der Android-App für den Asus-Onlinespeicher Webstorage ist auferstanden: Die aktuelle App-Version überprüft nicht das vom Onlinespeicher übermittelte Serverzertifikat.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Reiko Kaps

Die Android-App für den Onlinespeicher Webstorage von Asus überprüft per SSL-Verbindungsaufbau nicht die Identität des Servers und kann daher leicht abhört werden.

Eine bereits geschlossene Sicherheitslücke in der App für den Asus-Onlinespeicher klafft wieder auf. Die Webstorage-App für Android überprüft das Zertifikat nicht und kann so nicht korrekt feststellen, mit welcher Gegenstelle sie beim Aushandeln einer verschlüsselten Verbindung spricht. Passwörter und Daten lassen sich dadurch leicht abhören.

Die App baut so zwar selbst über Firmen-Firewalls hinweg eine Verbindung zu den Servers des Onlinespeichers auf. Doch lässt dann auch ohne weiteres Zutun die Kommunikation zwischen App und Webstorage-Server mitlesen. Dieses Verhalten hatte heise Netze bereits im November 2013 bei einer Vorversion festgestellt und dem Hersteller gemeldet. In Version 2.0.10.7381 hatte Asus diesen schwerwiegenden Fehler behoben. In der aktuellen Version 2.1.3.7556 ist der Fehler nun erneut aufgetaucht.

Asus installiert die Webstorage-App auf seinen Android-Geräten vor und gewährt Asus-Nutzern kostenlosen Speicherplatz. Laut Google Play ist die App auf 5 bis 10 Millionen Geräten installiert. Außer für Android steht Webstorage auch für iOS, Windows Phone, Windows. Mac OS X und Linux bereit. Während die Android-App bei den SSL-Tests versagt, macht die Windows-Version des Onlinespeichers alles richtig: Sie blockiert Anmeldung und Verbindungsaufbau, wenn der SSL-Aufbau abgehört und manipuliert wird. Die anderen von Webstorage versorgten Betriebssysteme hat heise Netze bislang nicht untersucht. (rek)