Asus fixt schwerwiegende SicherheitslĂĽcke in WebStorage
Die Client-Software WebStorage gehört zu einer Reihe von Apps, die Asus auf seinen Android-Geräten ab Werk installiert. heise netze hatte bei Routine-Kontrollen einen Implementierungsfehler aufgedeckt.
Die WebStorage-App fĂĽr den gleichnamigen Onlinespeicher hat ein stilles Update erhalten. Der Hersteller Asus hat die Client-Software in Google Play aktualisiert, nachdem heise netze bei RoutineprĂĽfungen eine schwerwiegende SicherheitslĂĽcke gefunden und dem Hersteller direkt gemeldet hatte.
Asus hat seine WebStorage-App wie erwartet für die SSL-verschlüsselte Kommunikation mit seiner Cloud ausgelegt. Dies war jedoch so ungeschickt implementiert, dass die Software beliebige SSL-Schlüssel und -Zertifikate akzeptierte, anstatt nur das Zertifikat und den Schlüssel von Asus. Deshalb ließ sich zumindest in der geprüften Version 2.0.9.7381 vom 30.08.2013 der gesamte Verkehr einschließlich der Zugangsdaten trotz Verschlüsselung sehr leicht mitlesen (Angriffsszenario Man-in-the-Middle). Ob ältere Versionen betroffen sind, ist unklar.
Die WebStorage-App gehört zu einer Reihe von Apps, die Asus auf seinen Android-Geräten ab Werk installiert, Voraussetzung dafür ist Android 2.2. Nach einer Anmeldung gewährt das Programm dem Nutzer kostenlosen Zugriff auf Onlinespeicherplatz, den Asus auf eigenen Servern eingerichtet hat. Wie andere Cloud-Clients synchronisiert WebStorage auch Fotos mit der Cloud; die Software eignet sich, um Dokumente mit anderen Nutzern zu teilen. Laut Google Play haben die App zwischen ein und fünf Millionen Android-Nutzer installliert. Geräte, die die App enthalten und hinsichtlich der Updates noch gemäß Android-Voreinstellung konfiguriert sind, sollten sie bei der nächsten Verbindungsaufnahme mit Google Play selbstständig aktualisieren. Die aktuelle Version trägt die Nummer 2.0.10.7381. (dz)