Falsche Aufregung um Sicherheitslücke in Android

Google, Android, Maskottchen Bildquelle: Rich Dellinger
Wer eine Verbindung zu einem offenen WLAN herstellt und dann persönliche Daten unverschlüsselt überträgt, geht ein großes Sicherheitsrisiko ein. Das wussten Sie schon? Drei Forscher von der Universität Ulm sehen darin eine Sicherheitslücke in Googles mobilem Betriebssystem Android. Sie fanden heraus, dass sich Smartphones und Tablets mit Android automatisch mit einem WLAN verbinden, das der Anwender in der Vergangenheit ausgewählt hatte. Nun besteht die Möglichkeit, dass ein Angreifer dieses Verhalten ausnutzt und ein eigenes WLAN aufbaut, das den gleichen Namen nutzt wie ein zuvor verwendetes Netzwerk. Das Android-Gerät würde sich dann automatisch damit verbinden.

Wird ein häufiger WLAN-Name (SSID) verwendet, ist die Wahrscheinlichkeit recht groß, dass sich einige Nutzer automatisch und nahezu unbemerkt damit verbinden. Beispiele sind "T-Mobile", "attwifi" oder "starbucks". Der Angreifer kann fortan den gesamten unverschlüsselten Datenverkehr mitlesen. Dazu ist lediglich eine Software wie Wireshark notwendig. Doch dieses Verhalten ist weder neu, noch trifft es nur auf Android zu. Sogar ein Windows-Laptop verbindet sich standardmäßig automatisch mit bekannten WLANs.

Android

Die eigentliche Schwachstelle in Android, die von den Ulmer Forschern entdeckt wurde, befindet sich in den Google-Diensten, die auf den Smartphones und Tablets genutzt werden. Mindestens alle zwei Wochen muss sich ein Anwender mit seinem Nutzernamen und seinem Passwort bei den Google-Servern authentifizieren. Über eine verschlüsselte HTTPS-Verbindung werden die Anmeldedaten übertragen - von den Google-Servern erhält man daraufhin ein so genanntes authToken, das maximal zwei Wochen gültig ist. Damit kann ohne erneute Authentifizierung mit Google-Diensten wie dem Kalender, der Kontaktverwaltung sowie dem Fotodienst Picasa kommuniziert werden.

Die eigentliche Sicherheitslücke befindet sich in der Kommunikation mit Hilfe des authTokens. Der Datenaustausch mit den Google-Diensten findet unverschlüsselt statt, so dass ein Angreifer das authToken mitlesen kann, um damit Zugriff auf die Google-Dienste zu erhalten, so dass die dort gespeicherten Daten ausgespäht werden können. Die Ulmer Forscher sind der Ansicht, dass die Arbeit der Kriminellen erleichtert wird, indem automatisch eine Verbindung zu bekannten WLANs hergestellt wird, die sich leicht fälschen lassen. Ein Angreifer hätte also Zugriff auf Kalendereinträge, Kontakte und Fotos eines Android-Nutzers, die mit den Google-Diensten synchronisiert werden.

Diese Sicherheitslücke ist durchaus real und sollte von Google geschlossen werden. Mit Android 2.3.4, das erst seit wenigen Tagen erhältlich ist, hat man sogar begonnen, die Kommunikation mit den Google-Diensten zu verschlüsseln, um derartige Angriffe zu verhindern. Allerdings greift die Verschlüsselung zunächst nur für die Kalendereinträge und Kontakte - die Kommunikation mit dem Fotodienst bleibt weiterhin unverschlüsselt. Zudem ist es aufgrund der Update-Politik von Google, der Smartphone-Hersteller und Mobilfunkanbieter sehr schwierig, auf die aktuellste Version des Betriebssystems zu wechseln.

So real wie die Sicherheitslücke ist, so bekannt ist sie auch. Viele bekannte Online-Dienste sind davon betroffen. Zudem beschränkt sich das Problem keinesfalls auf Android-Smartphones, wie man nach einem Blick in die deutsche Presse denken würde. Facebook und Twitter sind nur zwei populäre Online-Dienste, deren Kommunikation sich abhören lässt. Diese Art von Angriffen wird als Sidejacking bezeichnet. Die Kriminellen stehlen den Session-Cookie ihres Opfers für das Online-Angebot und können für einen begrenzten Zeitraum auf die Dienste zugreifen. Die Firefox-Erweiterung Firesheep machte davon Gebrauch und bekam dadurch viel Aufmerksamkeit von den Medien.

Die Sicherheitslücke betrifft also nicht nur Android-Smartphones, sondern sämtliche Geräte, die in einem offenen WLAN unverschlüsselt Daten austauschen. Jeder Laptop mit Windows ist anfällig. Die Anbieter von Online-Diensten können durch diverse Maßnahmen verhindern, dass sich ein Angreifer durch Stehlen eines authTokens oder Session-Cookies Zugriff auf die Daten seines Opfers verschafft.

Update - 11:05 Uhr
Gegenüber der Nachrichtenagentur 'dpa' hat sich ein Google-Sprecher zu den Berichten über die Sicherheitslücke geäußert: "Wir sind uns des Problems bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen."

Weitere Informationen: Beschreibung der Schwachstelle der Ulmer Forscher Google, Android, Maskottchen Google, Android, Maskottchen Rich Dellinger
Diese Nachricht empfehlen
Kommentieren76
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 08:59HP LaserJet Pro M127fw Laser-Multifunktionsdrucker (Scanner, Kopierer, Fax, 600 x 600 dpi, WiFi, USB 2.0)HP LaserJet Pro M127fw Laser-Multifunktionsdrucker (Scanner, Kopierer, Fax, 600 x 600 dpi, WiFi, USB 2.0)
Original Amazon-Preis
204
Blitzangebot-Preis
177,50
Ersparnis 13% oder 26,50
Im WinFuture Preisvergleich

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden