Falsche Aufregung um Sicherheitslücke in Android

Wer eine Verbindung zu einem offenen WLAN herstellt und dann persönliche Daten unverschlüsselt überträgt, geht ein großes Sicherheitsrisiko ein. Das wussten Sie schon? Drei Forscher von der Universität Ulm sehen darin eine Sicherheitslücke in ... mehr... Google, Android, Maskottchen Bildquelle: Rich Dellinger Google, Android, Maskottchen Google, Android, Maskottchen Rich Dellinger

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wer in einem öffentlichen WLAN sensible Daten verschickt/nutzt/empfängt ist selbst schuld. :)
 
@root_tux_linux: wenn du dein handy im starbucks wlan nutzt .. dann bist du also selbst schuld .. ahja
 
@-adrian-: nein, wenn du geld zwischen deinem schweizer bankkonto und deinem luxemburger konto im starbucks hin und her schickst - DANN bist du selbst schuld ;)
 
@Agassiz: na dann bin ich froh das ich mein geld auf den caymons hab, das kann ich jetzt dank dir weiterhin ohne veschlüsselung nutzen.
 
@-adrian-: ... nur wer Google Dienste nutzt, einen Amateur Sniffer in der Nähe hat und an ein unverschlüsseltes netzwerk geht ;)
 
@DUNnet: hat aber nix mit google diensten zu tun, jeder andere dienst ist genauso "betroffen". ich würde allerdings nicht von einer "sicherheitslücke" im eigentlichen sinne sprechen, vielmehr ist es unvermögen seitens der programmierer, das man keine unverschlüsselten daten rum schickt und wie mans besser machen kann lernt doch normal jeder informatik student recht früh...
 
@-adrian-: Was verstehst du an "SENSIBLE DATEN" nicht? Lässt wohl auch die Brieftasche in der Jacke stecken wenn du sie bei der Garderobe abgeben musst?!?
 
@root_tux_linux: hier gehts doch um die google dienste mit dem authkey .. nicht um die sicherheit von ungesicherten netzwerken
 
@-adrian-: Lies den letzten Abschnitt noch mal gründlich vielleicht geht dir ein Licht auf.
 
Übrigens kann man das WLAN auch ausschalten... spart sogar Batterie...
 
@da_Max: eben, wlan dann einschalten wenn man es braucht, und falls man dann zufällig im starbugs netz hängt und kein starbugs in der nähe ist würde ich mir, (als durchschnittlich intelligenter anwender) ja so meine gedanken machen
 
@violenCe: nein ich würde mir denken, krasse reichweite haben die starbucks wlans :D
 
@violenCe: normalerweise sind das spezielle netze, die sowieso eine bestätigung brauchen dass du dich verbindest UND ich bin mir fast sicher, dass man diese bekannten öffentlcihen netze nicht einfach so nachbilden kann
 
@da_Max: Das abschalten des WLANs spart nur dann Akkulaufzeit, wenn man gleichzeitig die UMTS/3G/EDGE/HSDPA/...-Verbindung deaktiviert. Wenn man ein zuverlässiges WLAN in Reichweite hat spart man durch Aktivierung des WLANs sogar Akkulaufzeit ein, da der Verbrauch durch eine WLAN-Verbindung geringer ist, als durch die sonst aktiven mobilen Datenverbindungen.
 
@skaven: Hab ich genau andersherum gelesen. HSDPA soll am wenigsten Strom verbrauchen, wenn eine stabile Verbindung da ist. Nur im Verhältnis Datenübertragung/Zeit ist WLAN stromsparender, da über DSL die Geschwindigkeit meist höher ist und somit die Zeit, bis die Datei vollständig ist, geringer. Im Selbstversuch hab ich auch festgestellt, daß eine WLAN-Verbindung etwas mehr Strom verbraucht als über stabiles HSDPA. Liegt aber vielleicht am jeweiligen Gerät und was darin verbaut ist.
 
@bgmnt: UMTS/HSDPA ist effizienter als EDGE, das heißt aber nicht das es auch sparsamer ist. Ganz im Gegenteil.
 
@Tonno87: Richtig, lad mal 15 Minuten lang Videos über UMTS bei schlechtem Empfang. Das Handy wird richtig warm, und der Akku geht SICHTBAR zurück. Bei EDGE kann ich da mindestens ne Stunde surfen, und hab dann den selben Akkuverbrauch. Mittlerweile nutze ich UMTS nur noch für Youtube Videos. Der Rest ist mit EDGE jetzt nicht wirklich soo viel langsamer. Rechnet man die geringen Akkuverbrauch und die nicht-greifende Drosselung nach überschreitung des Downloadvolumes (geht bei mir nur bei 3G, das ist dann richtig langsam mit 5-7 KB/s), lohnt sich EDGE doppelt. Keine drosselung, niedriger Akkuverbrauch, überall verfügbar. Ich hoffe mal, LTE wird weniger Akku verbrauchen als UMTS.
 
@skaven: naja... Theoretisch ist das vlt so! Aber ich hab da komplett andere Erfahrungen mit vielen unterschiedlichen Smartphones gemacht... Immer wenn ich WLAN deaktiviere, geht der Verbrauch runter... Schaltet man dazu noch den mobilen Datentransfer ab spart man richtig akku... 3G kann man anlassen... Grob gesagt: Schalte ich das Internet am Handy aus, verdoppelt sich fast die akkuleistung...
 
@skaven: Am besten noch GSM deaktivieren...dann spart man am meisten...kann halt das Handy dann nur als stylische Uhr benutzen.
 
@movieking: Gibt ein paar Apps für Android (JuiceDefender z.B.) die das mobile Internet ausschalten und nur periodisch (jede Stunde) und bei aktivieren des Bildschirms einschalten. Das spart ne ganze Menge. Wer nicht 24h am Tag Emails empfangen muss ist damit im Vorteil.
 
@Tonno87: Die Crapware bremst nur das Smartphone aus. Wenn du Pushmail deaktivierst und auf Gsm umstellst, wenn du nicht im Inet surfen willst, bringt das dir viel mehr.
 
@Madricks: Also bei meinem Desire wurde garnix gebremst und ein bisschen Komfort möchte man ja auch haben :)
 
Wow! Unverschlüsselte Daten lassen sich mitlesen! -.- In einem öffentlichem WLAN muss man VPN benutzen. Es gibt diese für paar Euro im Monat, oder man kann zu seinem Heimnetzwerk ein VPN aufbauen und für Laptops/iPhone gibt es sogar kostenlose VPNs z.B. das von Sipgate http://goo.gl/EQkb1
 
@DOSv2.0: hab schon mal versucht mit openvpn was aufzubauen .. aber irgendwie funzt es nicht so ganz -.-
was bei vpn halt voraussetzung ist.. ein client der auf allen windows versionen - windows mobile .. iphone und android laeuft.. schwer zu finden, oder?
 
@-adrian-: Du könntest pptp nutzen, das sollten alle Systeme können. Mit boardmitteln. OpenVPN Clients dürfen schon verschiedene sein. Praktisch ist ein Router der als VPNServer dienen kann.
 
@ThreeM: genau .. das war meine idee.. hab nen win r2 daheim als server im netzwerk - dieser haengt auch an einer fritzbox.. nun wollte ich nen vpn server drauf laufen lassen und die moeglichkeit haben die smartphones und andere clients von unterwegs ueber vpn sich zu verbinden .. leider bin ich ueber mstsc nicht hinaus gekommen ^^
 
@-adrian-: in android hast du ein standard vpn clienten und vpn ist vpn, was gibts da jetz für probleme?
 
@Odi waN: hmm.. ich bin davon ausgegangen dass ich einen client passend zum server haben muss ..wobei ich im bereich vpn auch nicht wirklich ahnung habe .. gerne klaeren wir das in einer google group .. wuerde mich freuen :)
 
@-adrian-: vpn ist ein standard ledeglich könnte es probleme geben mit der verschlüsselung da nicht alle clienten l2tp oder ipsec unterstützen. soweit habe ich es noch nicht getestet da ich persönlich noch kein vpn besitze.
 
@Odi waN: hmm.. muesste man mal testen .. dachte es gibt probleme mit der netzwerkkarte.. aber jetzt wo ich so ueberleg.. hamachi laeuft ja auch ueber die gleiche karte -.-
 
@-adrian-: Also mein IPFire funzt 1A mit OpenVPN :)
 
@root_tux_linux: muesste mal umgehend den openvpn server configurieren .. ist halt so unuebersichtlich in dieser coolen text datei .. habs lieber klicky bunty windows style nicht so vim maessig
 
@-adrian-: Wenn du zu deinem Windowsseerver ne VPN Verbindung über pptp machen möchtest must du entsprechend auf der Fritzboc vpn passthru und die entsprechenden Ports (pptp und gre) forwarden. Dann sollte es eigentlich gehen.
 
@ThreeM: komm ich dann mit jedem vpn client auf den server?
 
@-adrian-: Solange dieser das Protokoll PPTP Supportet ja. Android und IOS können PPTP Out-Of-TheBox.
 
@ThreeM: linux und windows desktops dann wohl auch .. kann ich dich heute oder morgen abend irgendwie kontaktieren bei fragen
 
@-adrian-: klar, icq müsste im profil stehen, ansonsten schick mir ne pm
 
Diese Funktion, was hier als mögliche Lücke betrachtet wird, ist in der Natur der Sache begründet.
 
@shiversc: ach .. was hier immer als luecke hingestellt wird wird immer so betrachtet.. war doch beim personalausweis net anderst und beim zensus2011 online gedoens auch nicht..
 
ohoh wäre das mal bei Apple passiert
 
@TeamST: Nicht immer nur die Überschrift lesen!
 
@phil1085: tjo da steht nix von apple und es geht mehr darum, was für ein aufschrei das wäre und ach wie schlimm doch die welt is usw .. was android falsch macht etc. is mir doch egal
 
@TeamST: "Die Sicherheitslücke betrifft also nicht nur Android-Smartphones, sondern sämtliche Geräte, die in einem offenen WLAN unverschlüsselt Daten austauschen". Das schließt Apple mit ein auch wenn es nicht explizit im Text steht
 
@phil1085: ich glaub nicht, dass man in offenen Netzwerken Zugriff auf die Bilder und Kontakte der iPhonebesitzer hat.
 
@Brannigan: glauben ist nicht wissen
 
Wow. Danke für diesen Artikel, der nicht einfach die "Android-Sicherheitslücke" hochkocht, sondern das Thema korrekt beleuchtet! Danke winfuture!
 
Auch wenn mir die Aussage des Artikels bekannt war, hat es Spaß bereitet ihn zu lesen. Ansprechender Schreibstiel und eine gute Länge.
 
Sollte Google einfach die bssid statt der essid als Merkmal verwenden und problem gelöst. Muss man sich zwar erneut per Hand anmelden wenn mal irgendwo ein AP getauscht wird,aber wie oft kommt das schon vor?
 
Bei Apple würde es sofort zum "WIFI-Gate" stilisiert werden, ganz unabhängig davon, dass es schon länger bekannt ist und im Endeffekt gar nicht so dramatisch: siehe Ortungsdaten, Antenne usw.
 
Naja, ein eher "relativ" unneutraler Artikel... Unverschlüsselt ist unsicher - soweit, so bekannt! Kann ja sein, daß ich irgendwas nicht verstanden habe, aber die entscheidende Frage ist doch: Ist die unverschlüsselte Kommunikation mit den Google Servern fest in Android auf OS Ebene verankert? Falls ja, ist es nicht so wie am Computer im Browser, daß man diese "Sicherheitslücke" zentral und serverseitig einfach beheben kann, indem man https erzwingt. Wenn das hart in den aktuellen Android Versionen so drin ist, dann ist das schon ein Problem, denn viele Geräte werden kein Update mehr bekommen und bleiben somit für immer auf der unverschlüsselten Kommunikation mit den Google Servern hängen... oder sehe ich das falsch?
 
@Givarus: Nein ist ist kein Problem von Android, sondern ein Problem von einigen Anwendungen von Google.
 
@Fonce: Liege ich jetzt komplett falsch, wenn ich vermute, daß man sein Android Phone im normalfall auf OS Ebene mit den Google Account verbindet? Gibt es die Option diese Kommunikation in Adroid auf SSL umzustellen oder nicht?
 
@Givarus: Die Verbindung findet nicht auf OS Ebene statt. Dies wird über weitere Anwendungen von Google gemacht. Wenn man z.B. mal CyanogenMod installiert kann man sehen wie ein pures Android ohne Google Anwendungen aussieht.
 
@Fonce: Wie ist es ohne Mod, lassen sich Dinge wie Marketplace, Kalendar, Kontakte u.s.w. sinnvoll ohne Google-Account nutzen? Und wenn man sie doch mit Google-Account nutzen möchte, lassen diese sich separat ohne Android Update aktualisieren?
 
@Givarus: Der Marketplace ist z.B. eine Google Anwendung, welche nicht direkt ins System eingebunden ist, genau wie GMail, Suche, Talk, YouTube, Maps. Kontakte lassen sich natürlich auch ohne Google-Account nutzen und wenn man keinen GoogleMail Account hat, kann man die E-Mail Anwendung nutzen. Bei Kalender bin ich mir grade nicht sicher ob das bei CyanogenMod ohne nachträgliches installieren der GoogleApps vorhanden ist. Man darf also nicht die Anwendungen von Google mit dem eigentlichen Android System verwechseln! PS.: Nur nochmal zur Info, CyanogenMod ist ein Team welches CustomROMs für Android Geräte entwickelt http://goo.gl/0WAh
 
@Fonce: Ja, verstanden. Aber meine Frage ist noch nicht beantwortet: Kann Google diese separaten Apps auch separat vom OS updaten?
 
@Givarus: Market, YouTube, Suche, Talk und Maps usw. ja. neue Versionen von GMail werden nur noch mit neuen Android Versionen ausgeliefert, rein technische wäre es aber auch hier ein Update, unabhängig von der Android Versionen, möglich. EDIT: Wenn man z.B. eine neuere APK von GMail in die Finger bekommt, kann man ohne Probleme ein Update durchführen...
 
@Fonce: OK, wenn das so ist, dann kann Google diese Lücke ja schnell schließen. Danke für die Infos.
 
Also ehrlich gesagt fände ich es persönlich gar nicht mal schlecht, wenn eine wirklich gravierende Sicherheitslücke gefunden würde, damit auch wirklich alle Hersteller gezwungen sind, für ihre Smartphones mal Updates nachzuschieben. Kann ja nicht sein, dass man teilweise froh sein kann, 2.1 für sein Modell zu haben und auch keine Aussicht auf Updates hat. Würde nun akute Gefahr bestehen, wären die Hersteller zum Handeln gezwungen. Traurig, dass erst was passieren muss, bis eigentlich selbstverständlicher Service geleistet wird...
 
Ich halte den Artikel für absoluten quatsch (auch wenn es jetzt Minus hagelt). Natürlich liegt es in der Natur der Sache, dass unverschlüsselte Daten über ein offenes WLAN ausgelesen werden können, nichts desto trotz ist das aber überhaupt nicht der Umstand auf dem die Lücke beruht. Es geht einzig und alleine um die Verschlüsselung bzw. nicht Verschlüsselung der Daten welche nicht stattfindet, so wie um die Token-Laufzeit von 14 Tagen. Ich halte es für falsch die "Lücke" zu hypen, aber genau so falsch ist es sie mit so einer Überschrift zu bagtellisieren!
 
Der Artikel ist für die Füße. So eine befangener Bericht gehört sich nicht. So etwas erlebt man nur bei Bild, Sat1, Pro7, RTL und Winfuture. Arm! Es ist mir aber klar, dass der Artikel die Problematik richtig beleuchtet. Bitte in Zukunft objektiv!
 
@janeisklar: Was ist den daran befangen? Weil der Autor erwähnt dass, das Problem nicht an Android liegt sondern an den Online Diensten ala Google Kram, Facebook und Co?
 
@janeisklar: Der Artikel ist um welten besser als alle die ich bisnerh über das thema gelesen habe
 
ich finde die Aufregung nicht falsch
 
Heutzutage stellt sich nur noch die Frage, welcher Verlust persönlicher Daten in Relation zu den erworbenen Annehmlichkeiten relativiert, denn wer heute noch denkt, er wäre auf welcher Plattform, bei welchem Anbieter und welcher Software auch immer sicher, der glaubt auch an den Weihnachtsmann, den Osterhasen und die Zahnfee. Schuld sind nämlich nicht die angeblich kriminellen Energien, sondern die deutlich dummen Nutzer, die jedem Angebot entgegenhecheln und damit Tür und Tor weit öffnen. Letztlich haben sie es garnicht anders verdient.
 
Das ist ein Skandal! Bei Apple hätte man sich tierisch aufgeregt. Hier spielt man es herunter...
 
@wingrill: Willkommen bei WinFuture!
 
@TeamST und wingrill: Wie wärs mit Artikel lesen?
 
Egal ob offenes WLAN, verschlüsseltes WLAN oder GSM, alle Wege führen über das Internet und das ist sicherlich nicht sicher...
Also unabhängig vom offenen WLAN leider eine allgemeine Lücke. Gut dass mein Desire schon auf 2.3.4 ist ^^
 
Standard Man-In-The-Middle. Funktioniert auch mit dem iPhone.
Merke: Nur Dienste mit validen SSL Zertifikaten nutzen.
 
Gut das ich ein iPhone habe damit gehts mir immer gut.
 
Wär das bei Apple passiert, würden hier wieder 10Millionen Leute auf die Barrikaden springen und gegen Apple protestieren..
 
Puuh alles falscher Alarm, die "Forscher" waren von Facebook bezahlte Schauspieler ...
 
Android an sich ist eine Sicherheitslücke xD TOT dem Google Analytics!! lol
 
"Forscher" - man kann einen Titel haben, aber keine Fähigkeiten.
 
Nur da eure Väter Steuern hinterziehen und eure Vorväter Menschen ausraubten und meuchelten, braucht IHR nicht so zu tun, als sei Datenschutz eine relevante Sache - denn es macht euch verdächtig - welche Daten werden da geschützt? Etwa die Daten über das (unhinterfragt übernommene) Erbe, welches mehrheitlich aus jüdischen Gütern, Grundstücken, Firmen, Immobilien, etc. besteht....
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles