AirDroid-Entwicklern tut der Bug schrecklich leid, der Dein Android-Gerät kompromittieren kann – volle Transparenz

Kein Kommentar Autor: Jürgen (jdo)

Die Ankündigung von AirDroid, den Anwendern gegenüber voll transparent zu sein, liest sich wie ein schlechter Scherz. Wie Du vielleicht mitbekommen hast, gibt es in AirDroid eine böse Security-Lücke, über die sich möglicherweise Dein Android-Gerät kompromittieren lässt. Das ist in unverschlüsselten WLANs der Fall.

AirDroid gibt die Sache zu

Zunächst einmal garantieren die Entwickler der App, dass eine Benutzung in verschlüsselten Wi-Fis / WLANs oder sicheren LANs unproblematisch ist. Das wissen wir bereits, da uns die Security-Experten darüber in Kenntnis gesetzt haben.

Weiterhin sollen die Anwender nicht den Eindruck bekommen, dass das AirDroid-Team die Security-Lücke nicht ernst nimmt. Sobald das Problem gemeldet wurde, hätte man sofort reagiert. Es gäbe ein Missverständnis zwischen den Security-Experten und den Entwicklern der App.

Das Problem sei durch die enthaltenen Synchronisations-Funktionen sehr komplex. Bei einer neuen und sicheren Version seien einige Funktionen nicht komplett kompatibel zu einer älteren.

Das Team arbeite fieberhaft an einer Lösung und wolle alle zwei Wochen eine neue Version herausgeben, um den Übergang so sanft wie möglich zu gestalten.

Security sei oberste Priorität und für den Moment rät das AirDroid-Team seinen Nutzern, keine unbekannten oder unsicheren Netzwerke zu benutzen. Die Anwender sollen bitte nicht das Vertrauen in die Software verlieren.

Volle Transparenz

Ich muss ganz ehrlich sagen, dass volle Transparenz nach Enthüllung der Lücke ein bisschen witzlos ist. Zumal das AirDroid-Team auch nicht mehr sagt als die Security-Experten. Genau genommen rät man von der Verwendung unsicherer Netzwerke ab und sagt aber nicht, wann eine sichere Version verfügbar sein wird.

Weiterhin wusste man seit über sieben Monaten von dem Problem. Das ist die Zeitachse der Security-Experten. Demnach wurde das AirDroid-Team am 24. Mai 2016 über das Problem in Kenntnis gesetzt. In der Zwischenzeit gab es bereits eine neue große Version (4.0), in der das Problem nicht gefixt wurde.

AirDroid-Entwickler wissen seit Ende Mai Bescheid

AirDroid-Entwickler wissen seit Ende Mai Bescheid

Sich nun hinstellen und von einem Missverständnis zu sprechen, ist schon ein starkes Stück. Es klingt fast wie ein bisschen Unverständnis, dass die Security-Experten von Zimperium Details zu der Security-Lücke veröffentlicht hätte. Ich bin aber schon der Meinung, dass Zimperium sehr fair gehandelt und den Entwickler ausreichend Zeit eingeräumt hat.

Volle Transparenz wäre gewesen, wenn man die Anwender sofort selbst gewarnt und diese Warnung bei jeder Benutzung der Software dem Anwender unter die Nase gehalten hätte.

Die Entwickler verhalten sich aber wie das Kind mit dem Schoko-verschmierten Gesicht, dass die Schokolade nicht gegessen haben will. Das Gefasel von Transparenz ist reine Schadensbegrenzung und nichts anderes.

Ich persönlich verwende die App nicht, würde sie aber spätestens nach der Aussage der Entwickler deinstallieren. Zumindest so lange bis es eine nachweislich sichere Version gibt.




 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.