Falsche Aufregung um Sicherheitslücke in Android
Wird ein häufiger WLAN-Name (SSID) verwendet, ist die Wahrscheinlichkeit recht groß, dass sich einige Nutzer automatisch und nahezu unbemerkt damit verbinden. Beispiele sind "T-Mobile", "attwifi" oder "starbucks". Der Angreifer kann fortan den gesamten unverschlüsselten Datenverkehr mitlesen. Dazu ist lediglich eine Software wie Wireshark notwendig. Doch dieses Verhalten ist weder neu, noch trifft es nur auf Android zu. Sogar ein Windows-Laptop verbindet sich standardmäßig automatisch mit bekannten WLANs.
Die eigentliche Schwachstelle in Android, die von den Ulmer Forschern entdeckt wurde, befindet sich in den Google-Diensten, die auf den Smartphones und Tablets genutzt werden. Mindestens alle zwei Wochen muss sich ein Anwender mit seinem Nutzernamen und seinem Passwort bei den Google-Servern authentifizieren. Über eine verschlüsselte HTTPS-Verbindung werden die Anmeldedaten übertragen - von den Google-Servern erhält man daraufhin ein so genanntes authToken, das maximal zwei Wochen gültig ist. Damit kann ohne erneute Authentifizierung mit Google-Diensten wie dem Kalender, der Kontaktverwaltung sowie dem Fotodienst Picasa kommuniziert werden.
Die eigentliche Sicherheitslücke befindet sich in der Kommunikation mit Hilfe des authTokens. Der Datenaustausch mit den Google-Diensten findet unverschlüsselt statt, so dass ein Angreifer das authToken mitlesen kann, um damit Zugriff auf die Google-Dienste zu erhalten, so dass die dort gespeicherten Daten ausgespäht werden können. Die Ulmer Forscher sind der Ansicht, dass die Arbeit der Kriminellen erleichtert wird, indem automatisch eine Verbindung zu bekannten WLANs hergestellt wird, die sich leicht fälschen lassen. Ein Angreifer hätte also Zugriff auf Kalendereinträge, Kontakte und Fotos eines Android-Nutzers, die mit den Google-Diensten synchronisiert werden.
Diese Sicherheitslücke ist durchaus real und sollte von Google geschlossen werden. Mit Android 2.3.4, das erst seit wenigen Tagen erhältlich ist, hat man sogar begonnen, die Kommunikation mit den Google-Diensten zu verschlüsseln, um derartige Angriffe zu verhindern. Allerdings greift die Verschlüsselung zunächst nur für die Kalendereinträge und Kontakte - die Kommunikation mit dem Fotodienst bleibt weiterhin unverschlüsselt. Zudem ist es aufgrund der Update-Politik von Google, der Smartphone-Hersteller und Mobilfunkanbieter sehr schwierig, auf die aktuellste Version des Betriebssystems zu wechseln.
So real wie die Sicherheitslücke ist, so bekannt ist sie auch. Viele bekannte Online-Dienste sind davon betroffen. Zudem beschränkt sich das Problem keinesfalls auf Android-Smartphones, wie man nach einem Blick in die deutsche Presse denken würde. Facebook und Twitter sind nur zwei populäre Online-Dienste, deren Kommunikation sich abhören lässt. Diese Art von Angriffen wird als Sidejacking bezeichnet. Die Kriminellen stehlen den Session-Cookie ihres Opfers für das Online-Angebot und können für einen begrenzten Zeitraum auf die Dienste zugreifen. Die Firefox-Erweiterung Firesheep machte davon Gebrauch und bekam dadurch viel Aufmerksamkeit von den Medien.
Die Sicherheitslücke betrifft also nicht nur Android-Smartphones, sondern sämtliche Geräte, die in einem offenen WLAN unverschlüsselt Daten austauschen. Jeder Laptop mit Windows ist anfällig. Die Anbieter von Online-Diensten können durch diverse Maßnahmen verhindern, dass sich ein Angreifer durch Stehlen eines authTokens oder Session-Cookies Zugriff auf die Daten seines Opfers verschafft.
Update - 11:05 Uhr
Gegenüber der Nachrichtenagentur 'dpa' hat sich ein Google-Sprecher zu den Berichten über die Sicherheitslücke geäußert: "Wir sind uns des Problems bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen."
Weitere Informationen: Beschreibung der Schwachstelle der Ulmer Forscher
Das Google Pixel 8 im Preisvergleich
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Neue Android-Bilder
Android-Videos
- Honor Pad 9 ausgepackt: Erste Eindrücke zum neuen 12-Zoll-Tablet
- JRNY Fitness-App im Test: Work-out-Erfolge auf neuem Level
- Super Bowl 2024: Oreo zeigt eine Welt, in der ein Keks alles verändert
- Lenovo Tab M11: Erste Eindrücke zum Einsteiger-Tablet mit Stift
- Google zeigt beim Super Bowl, wie KI Blinden beim Fotografieren hilft
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Jetzt als Amazon Blitzangebot
Ab 06:00 Uhr neon schild
Original Amazon-Preis
32,99 €
Im Preisvergleich ab
32,99 €
Blitzangebot-Preis
22,43 €
Ersparnis zu Amazon 32% oder 10,56 €
Neue Nachrichten
- Motorola enthüllt neues Flaggschiff: Edge 50 Pro kommt mit ganz viel KI
- Rückstau in den Lagern: Sony stoppt die PSVR2-Produktion
- Neue Angebote: Media Markt und Saturn rufen zum März-Abverkauf
- Nach Displays auch noch iPadOS: Apple verstolpert den iPad Pro-Start
- BitTorrent erstmals nicht mehr größte Quelle für Upload-Traffic
- Microsoft Surface: Saturn verkauft Laptops und 2-in-1s zum Sparpreis
- Steam-Familie: Neue Funktionen zum Teilen von Spielen vorgestellt
Videos
Beliebte Downloads
Beliebte Nachrichten
Michael Diestelberg
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
WP-development progress :: interface and functionality
el_pelajo - vor 1 Stunde -
Problem mit Microsoft 356 Business & extern gehosteten Exchange Po
MrRobot24 - Heute 10:29 Uhr -
Fritzbox USB Fernanschluss ist irgendwie blockiert?
venom30 - Heute 10:27 Uhr -
WSA Abschaltung
Stefan_der_held - Heute 09:54 Uhr -
Neu: Mozilla Firefox 124.0 freigegeben: die neueste Version steht zum
el_pelajo - Gestern 15:22 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen