Android: WLAN-Logins landen im Klartext bei Google

Wer Nutzern eines Android-Smartphones Zugang zu seinem WLAN gewährt, muss damit rechnen, dass das benötigte Passwort unverschlüsselt auf einem Server des Suchmaschinenkonzerns Google landet. mehr... Wlan, WiFi, Hotspot Bildquelle: Nicolas Nova / Flickr Wlan, WiFi, Hotspot Wlan, WiFi, Hotspot Nicolas Nova / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Das sag ich nur Sauerei !
Die Backup-Funktion sollte standardmäßig auf jeden Fall deaktiviert sein und nur wenn vom User wirklich gewünscht aktiv werden und Passwörter egal ob jetzt vom WLAN oder was auch immer dürfen doch auf keinen Fall als Klartext auf irgendwelchen Servern landen. Da fehlt's wirklich an allen Enden wenn private Daten nicht besser geschützt werden !
 
@avi187: Muss nicht nur privat sein, man loggt sich in der Firma ja auch ins WLAN ein.
 
@hhgs:
eben - ist ja fast noch schlimmer - deswegen gibt's bei uns in der Firma auch keine Android Geräte - irgendwie war das wohl zu erwarten. Fragt sich nur ob die anderen besser sind. gleich mal nachlesen wie da die Backups gehandhabt werden ...
 
@avi187: Was erzählst du da fürn Quatsch. Ist euer Chef Hellseher? Bis vor kurzem war das nicht bekannt und nach dem jetztigen Stand der Dinge spielen Apple, Rim und Microsoft das gleich Spielchen mit unseren Daten. Generell sollte man diese Smartphone komplett aus seiner Firmeninfrastruktur verbannen.
 
@surfingod: Ich erzähl so'n Quatsch, weil private Geräte generell nichts in Firmennetzen zu suchen haben. Dabei spielt es absolut keine Rolle, ob die von Haus aus irgendwelche Sicherheitslücken aufweisen, oder ob die Lücken vom Anwender erst ermöglicht werden, weil der jedes verkackte App installieren muß die er finden kann. Private Geräte gehören nicht in die Infrastruktur eines Unternehmens. Punkt. In den meisten Unternehmen existieren diesbezüglich ausdrückliche Verbote. Firmeneigene Geräte sind idR entsprechend konfiguriert, während man bei privaten Geräte als Admin keine Kontrolle über deren Verhalten hat. Beschäftige Dich bitte erstmal mit dem Thema "IT-Sicherheit in Unternehmen", dann sehen wir weiter.
 
@starship: Ich bin in der IT Sicherheit tätig und die derzeitigen Möglichkeiten sind nicht dazu geeignet, die jetzt aufgetauchten Probleme zu beseitigen. Die Hersteller wären ziemlich blöd, uns diese Tools in die Hand zu geben, ohne eine Hintertür zu behalten. Dabei spielt es absolut keine Rolle, ob privat, oder Firmenhandy. Wach auf
 
@surfingod: "Ich bin in der IT Sicherheit tätig", aber Dir ist nicht bekannt, daß man auf Androidgeräten die Backupfunktion deaktiveren kann und auch sollte? Und zum Thema "Kontrolle über Privat- vs Firmengerät" muß ich mich doch jetzt nicht wirklich wiederholen? Nunja, dank solchen Leuten habe ich einen sicheren Arbeitsplatz, danke :-)
 
@hhgs: "man loggt sich in der Firma ja auch ins WLAN ein." Mit dem privaten Telefon? Zum Glück ist das bei den meisten Firmen ein Grund für die fristlose Kündigung. Der gesunde Menschenverstand kann bei vielen Leuten offenbar nur auf die harte Tour aktiviert werden...
 
@starship: Ach und das Firmenhandy kann kein Android sein?
 
@hhgs: Privathandy != Firmenhandy
 
@avi187: Mein Windows Phone win8 pc - backuped die daten leider gar nicht. Muss ich also am PC und am smartphone nach einem reset zb oder auch generell bei dualer nutzung die daten immer wieder pflegen. denke es richtig waere es daten verschluesselt in einen container auf dem Server zu speichern. Wird wohl aber nirgends passieren
 
@-adrian-: also ich bin da eher Firmenuser beim Handy, alles was ich darauf brauch liefert der Exchange Server ;-) alles andere ist unwichtig und die paar Apps die ich gelegentlich nutze sind in 5 Min. wieder installiert.
Zukünftig werde ich zumindest für Fotos noch ein Cloud-Backup nutzen - will mir das Lumia 1020 holen und meine Digicam wegwerfen, zumindest für die Fotos brauch ich dann ne Backup-Funktion... aber das sollte kein Problem sein.
 
@avi187: Das Problem mit dem Cloud Backup bei Windows Phone ist das die Fotos dort nur in reduzierter Qualität hochgeladen werden. Ich will mir das Lumia 1020 auch holen und überlege ob ich mir nicht einen kleinen Heimserver baue der dann auch während des Ladevorgangs nachts die Daten nebenher sichert. So nach dem Motto Handy anstecken und den Rest erledigt der Server.
 
@Kindliche Kaiserin: Falsch, die Qualität kannst du seit spätestens WP8 einstellen. ("gute Qualität", also reduziert, per mobiler Datenverbindung, oder "Beste Qualität" per WLAN)
 
@DON666: Aber ich dachte auch in der Präsentation vom Lumia 1020 wurde geschrieben das nur die 5MP Bilder hochgeladen werden. An die 38MP kommt man wohl nur per USB Anschluss.
 
@Kindliche Kaiserin: Nein, an die 41 MP (nicht 38) kommst du in Form eines fertigen Bildes sowieso nicht dran. Das Bild wäre zum einen extrem riesig und die Qualität auch in dieser Auflösung nicht sonderlich gut.
Das Lumia 1020 verarbeitet die vollen 41 MP des Sensors intern zu einem maximal 8 MP - Bild, indem es die Informationen aus den 41 MP benutzt, um Rauschen zu minimieren und maximal scharfe 8 MP - Bilder daraus zu berechnen. Als Bild gespeichert werden auf dem Lumia dann nur 8MP oder wahlweise einstellbar auch 5 MP - Bilder.
Das Hochladen der Bilder ist so gelöst, dass in der Einstellung "beste Qualität" die Bilder so übertragen werden, wie sie auch auf dem Handy gespeichert sind, allerdings dann nur über WLAN.
 
@mh0001: Der Sensor hat 41MP aber dieser scheint rund zu sein und daher werden bei 16:9 Bildern maximal 38MP verwendet. Es steht in mehreren Nachrichten dass ein 38MP Bild gespeichert wird und zusätzlich ein berechnetes 5MP Bild und das nur dieses 5MP Bild hochgeladen werden würde.
 
@Kindliche Kaiserin: Hm ja ich hab es jetzt selber auch nochmal gegoogelt, du hast Recht. Das las sich aber vor einiger Zeit hier noch ganz anders in den News. Da war immer die Rede davon, dass die volle Auflösung des Sensors lediglich als Oversampling für die gespeicherten Bilder dient. Jetzt ist in der Tat überall davon die Rede so wie du es gesagt hast. Sry...
"Beste Qualität" sollte dann aber eigtl. volle Auflösung heißen, steht ja eigtl. so in der Beschreibung dieser Einstellung. Wahrscheinlich wird "Hohe Qualität" dann das 5 MP-Bild abbekommen.
 
@mh0001: Beste Qualität ist ja nur die Upload Einstellung...was du vorher als Bild produzierst ist davon unabhängig (du hast die möglichekit das voll aufgelöste und das runtergerechnete Bild auf einmal zu speichern)
 
@0711: Das ist schon klar. Es geht ja grade darum, ob man das voll aufgelöste Bild komfortabel vollautomatisch über WLAN synchronisieren kann oder ob man dafür das USB-Kabel bemühen muss.
 
@avi187: Also bei mir hat Android bei der Einrichtung am Anfang immer gefrag ob ich es aktivieren oder deaktivieren möchte. Problematisch sehe ich da nur, dass man nicht weiß was und wie (verschlüsselt / unverschlüsselt) bei Google gespeichert wird. Aber klammheimlich aktiviert wird das glaube ich nicht. Edit: Ok, bei der Option steht: "App-Daten, WLAN-Passwörter und andere Einstellungen auf Google-Server sichern"
 
In den letzten Wochen wird aber auch wirklich nichts mehr ausgelassen! Das Internet ist bald wirklich nichts mehr Wert...
 
@hhgs: Geh einfach davon aus dass es schon nichts mehr wert ist und erfreu dich an jeder guten news :)
 
@hhgs: Mein Gott, typisch Medien halt. Solange man mit negativen Schlagzeilen genug Klicks generieren kann, wird jeder unwichtige Mist einem als Desaster verkauft. Wenn man im Netz surft, hinterlässt man massig Spuren, so oder so. Wems nicht gefällt, soll gefälligst komplett offline gehen und sich auf eine Insel oder Waldhütte zurückziehen und gut ist. Mich persöhnlich juckt es einen feuchten Dreck ob die NSA meine Chats, Mails oder Telefonate abhört. Ich bin kein Terro...t und habe daher nichts zu verbergen. So langsam wird diese ganze Geschichte totgenudelt.
 
@joe2077: Und genau hier haben wir das perfekte Beispiel und die Antwort darauf, warum sich die Regierung absolut alles leisten kann.
 
@joe2077:
naja wenn Du im Netz surfst hast Du zumindest die Wahl Dich abzusichern und zu entscheiden welche Daten Du preisgibst (bis auf IP-Adresse usw. natürlich was sowieso bei allen mitgeloggt wird). Aber z.B. Dein WLAN Passwort oder andere Daten sollten beim Surfen nicht ausspioniert werden können (hoffe ich zumindest ;-) ). Das man als Standard das Backup aktiviert hat und unerfahrene User damit "hintergeht" ärgert mich. Ansonsten seh ich das auch locker. Meinen Senf den ich ins Internet schreib kann die NSA auch ruhig lesen - wenn die nix besseres mit ihrer Zeit anzufangen wissen ...
Nur bei Firmendaten hört sich der Spass auf - wenn Firmen-Know-How in die falschen Hände gerät kann das schnell zur Pleite der Firma führen, wenn z.B. plötzlich in China die selben Produkte zum 1/4 Preis hergestellt werden.......

P.S: das - is nicht von mir. Ich würd das mit + und - hier im Forum sowieso abschalten. Das ist doch Kinderkram ;-) Jeder soll seine Meinung sagen dürfen egal ob's vielen gefällt oder auch nicht.
 
@joe2077: Wenn aber einer deiner kontakte als Terrorist oder auch nur als Krimineller Straftäter hops genommen wird und bei dir eine Hausdurchsuchung stattfindet oder Verhaftung nur weil der dich oder du ihn mal geliket hast - dann vergeht dir aber dein Lächeln. Kannst ja dann noch schnell liken wie toll du das findest dass man dich wegen einem anderen Idioten dich einfach mal so mit Hops nimmt. In Militär- und Geheimdienstkreisen nennt man so etwas schlicht Kollatrealschaden. Ist ja nicht weiter tragisch.
 
@joe2077: Du kommst also von der Schnüffelaffäre zum Stichwort "Terrorist", das ist schon mal verdächtig, hat doch diese ganze Schnüffelei mit Terrorabwehr am wenigsten zu tun. Dann betonst Du, dass Du kein Terrorist bist, das macht Dich schon mal in höchstem Maße verdächtigt. Würde die NSA hier nicht sowieso schon mitlesen, müsste man ihr eigentlich mal einen Tip geben...aber das brauche ich ja nicht.
Sagen Dir die Worte "Lämmlein" und "Schlachtbank" was?
 
@joe2077: Die Stasi hat auch nur den Staat geschützt und die guten Menschen hatten nichts zu befürchten. Und es ist völlig ok, wenn heute Menschen getötet werden ohne Gerichtsverfahren und ohne Chance der Verteidigung aufgrund von Daten, die niemand zu Gesicht bekommt. Es sind ja nur Terroristen, zumindest nach Meinung von Leuten, die niemand kennt. Und natürlich ist es nicht schlimm, wenn man Dich abhört. Du bist ja nur einlangweiliger, dummer Mensch, da will gar keiner wissen was DU von Dir gibst, denn es ist nicht interessant. Und dass Du kein Geld auf dem Konto hast, Dir Gummipuppen bei Beate Uhse kaufst, keine richtigen Freunde hast, aber ein Alkoholproblem, will auch keiner wissen. Und dass die Firmengeheimnisse Deines Arbeitgebers bei der Konkurrenz landen, ist auch nicht schlimm, denn es sind doch alles Freunde. Das wird schon keine Arbeitsplätze gefährden. Hauptsache wir sind vor den Terroristen geschützt, die uns jeden Morgen auf dem Weg zur Arbeit bedrohen. Zwar kann man bisher keinen Anschlag nachweisen, der durch die Datenspionage verhindert oder aufgeklärt wurde, aber unsere Politiker sagen, dass es so ist. Und unsere Politiker, allen voran Innenminister Friedrich, sind vertrauenswürdig. (Achtung, reichlich Ironie eingebaut)
 
Das wichtigste fehlt: Die Anleitung zum abschalten....
 
@DRMfan^^: Einstellungen , Datenschutz .hacken raus bei meine Einstellungen sichern und Automatisch wiederherstellen
 
@mambaboa: Wobei für den haken bei "automatisch Wiederherstellen" zumindest bei mir erstmal "Backup anlegen" kurzzeitig aktiviert werden muss.
 
Google weiß nunmal alles über seine Nutzer... alles!
 
@Wuusah: Das Problem ist - dass du nicht mal Google Nutzer sein musst und sie wissen es trotzdem - so wie "suche anhand deiner emailadresse nach freunden" . zack - alle email adressen bei dem anbietr
 
@Wuusah: Dazu müsste die News erst mal stimmen! Du wirst bei der Einrichtung gefragt, ob du ein Backup durch Google machen lassen möchtest oder nicht. Wer Backups seiner Daten in die Cloud legt, ohne sich vorher mal zu fragen, was passiert da überhaupt, der muss sich nicht wundern...Google bietet dir also ein Cloud Backup, was du schon beim Einrichten aktivieren kannst, oder aber du kannst es auch lassen. Google kann deine Kontakte, Termine etc. mit den eigenen Clouddiensten syncen, man kanns aber auch lassen. Also wo ist das Problem? ___ Es beschweren sich bei IT-Produkten immer alle, dass nicht alles hundert Prozent IDIOTEN-sicher ist, aber wenn man keine Ahnung von Autos hat und ohne Öl noch hundert km fährt und dann geht der Motor fest, dann schimpft auch keiner auf die entsprechenden Autohersteller, dass das so ja keiner ahnen konnte und glaube mir, es gibt mindestens genauso viele Leute die nicht mal wissen, dass ein Auto Motoröl braucht, wie es Leute gibt, die nicht wissen was sie da in ihrem mobilen Betriebsystem einstellen...
 
Das ist ein schwerwiegender Angriff von Google der geahndet werden muss.
 
@Menschenhasser: Joa, dann zahlen sie halt eine symbolische Strafe von ein paar Tausend Euro und die Sache ist gegessen. War doch bei ihrem Wardrive genau das gleiche.
 
Ich zitiere mal einen Kommentar aus dem Golem-Forum der es gut auf den Punkt bringt: "Es geht darum, dass ein Experte hier "aufgedeckt" hat, was offensichtlich ist, nämlich, dass die Funktion "WLAN-Kennwörter auf Google-Servern sichern" genau das macht und zwar im Klartext, weil's sonst nutzlos wäre. Das einzige, was man Google vorwerfen könnte, ist, dass sie die Sicherung von Passwörtern und die Sicherung von unkritischen Einstellungen nicht in 2 Optionen trennen."
 
@Hoodlum: was genau redest du da? wieso wäre es nutzlos, wenn man die passwörter auf den servern als hash speichern und salten würde?
 
@Slurp: Weil du den Hash, der dann dort liegt nicht an den Router schicken kannst. Hashen und Salten ist ja nur möglich, wenn du das per Klartext eingegeben noch mal Hashst und Saltest und dann mit dem als Hash gespeicherten vergleichst. Rückrechnen geht doch nicht. Davon mal ab, wäre aber eine Verschlüsselung schon alleine wegen dem Angriffspotenzial dem auch Google sich nicht verschließen kann, wünschenswert, und da gebe es Möglichkeiten. Ändert aber nichts, dass der Provider - in dem Fall Google - so lange er den Kunden keinen privaten Key erstellen lässt, die Sache jederzeit entschlüsseln kann.
 
@Knarzi81: hm, chapeau. daran hab ich nicht gedacht.. dann sorry an hoodlum
 
@Slurp: Naja, Passworte sollte generell in keiner Cloud gesichert werden. Omas Kochbuch oder ne alte Unterhose sind da nach wie vor geeigneter. Darauf muss mindestens deutich hingewiesen werden. Wenngleich ein iwo gespeichertes Wlan-Passwort wahrscheinlich das geringste Übel ist.
 
@Knarzi81: und warum kann man das nicht gleich mit dem eh schon vorhandenen Google Kennwort mixen/verschlüsseln? GEnau so wie es der Herr aufdecker vorschlägt? Es wäre absolut nicht nötig die Kennwörter im Klartext zu speichern wenn man nur will und allein dass man das tut zeugt eben von keinem großen Sicherheitsbewustsein für die Userdaten.
 
@0711: Das wäre ja die Verschlüsselung die ich meinte, allerdings ist das Googlekennwort eben nicht zwingend ein privater Schlüssel, da Google dieses ja zumindest als Hash oder sonst wie ebenfalls hat. Ich zweifle aber ein wenig, dass das Interesse besteht, es so zu verschlüsseln, dass man selbst - also Google - nicht rankommt, so dass eben wenn Verschlüsselung genommen wird, die eben Google immer selbst auch wieder entschlüsseln kann, also alle Schlüssel von ihnen gestellt werden.
 
@Knarzi81: naja mit entsprechendem hash und salz kann mans so abspeichern dass man es selbst nicht entschlüsseln kann. Wenn Google Interesse am schutz der userdaten in irgendeiner weise hat dann nutzen sie ein solches verfahren...wenn Google an diesen daten selbst Interesse hat wär die frage eher welches nicht verwerfliche Interesse Google daran hat.
 
@Hoodlum: Wie kannst du es wagen eine Tatsache differenziert darzustellen? Willst du etwa dass die armen Trolle verhungern?
 
Einstellungen > Sichern & zurücksetzen > Meine Daten sichern (unckeck)
 
@Slurp: Bis Du da bist, hast du das gerät aber schon einmal gesichert. Und das problem ist nicht DEIN handy, sondern das Deines Kumpels, der sich mal kurz WLAN bei Dir borgt ;)
 
@iPeople: Stimmt.. nen WLAN Kennwort kann man ja leider auch nicht ändern. Schade.. wir können Daten mit mehreren Hundert mbit durch die Gegend jagen, aber nen Kennwort ändern? Unmöglich..
 
@luckyiam: Ja genau, der User ist das problem ...... *rolleyes*
 
Soviel zu der Aussage der NSA diese Woche: "Wir entwickeln an Android mit, damit die Sicherheit der User vor Hackern und Angriffen gewährleistet wird". Und da gibt es immer noch genügend Spinner die behaupten, dass dies alles ja nur halb so wild ist. Bin ja mal gespannt wer neben den üblichen Verdächtigen (und jetzt wohl auch Tätern) noch alles in der Schlange steht und über kurz oder lang schüchtern den Finger hebt und kleinlaut beigibt. Ich glaube die meisten sind sich der eigentlichen Ausmasse überhaupt nicht bewusst. Und so ganz nebenbei erklärt unsere Bundesregierung ganz öffentlich, dass es für Snowdens Anschuldigungen bisher keine Beweise gibt. Die werden sich noch wundern.
 
@LastFrontier: Die Funktion ist nicht standardmäßig aktiviert, der Nutzer muss sie bestätigen. Damit die Funktion genau das tun kann, was sie tun soll und was der Nutzer von ihr erwartet, ist es schlichtweg notwendig die Daten so zu speichern, wie sie gespeichert werden. Siehe o6ff. Android funktioniert auch ohne diese Funktion zu aktivieren und zu nutzen.
 
@bgmnt: Das ist mir schon klar. Nur wenn er bestätigt, sollte er auch davon ausgehen können dass das alles auch sicher ist. Bei iOS muss das übrigens genauso oder ähnlich sein. Apple hat erst kürzlich die Sicherheitsabfragen geändert/erhöht - durch zweite Abfrage. Meines wissens verschlüsseln die aber auch die Passwörter.
 
@LastFrontier: bei iOS gibt es zwei Möglichkeiten: Unverschlüsselte Sicherung ohne Passwörter oder verschlüsselte Sicherung mit Passwörtern.
 
Skandal!! Kommen die jetzt alle zu mir nach hause, um mein W-Lan zu nutzen? *facepalm*
 
@Ceajay: hehe ja das tun sie - und alle laden sich illegale filme über bittorent und co. und danach kommen auch noch die grünen äh jetzt blauen Staatsdiener bei Dir vorbei - nur nicht zum Wlan Surfen ;-)
 
@avi187: Genau, dann das Geld ist knapp! :P
 
@Ceajay: Heute Abend! WLAN-Party bei Ceajay! Alle sind eingeladen!
 
@Ceajay: Auch wenn Dich das jetzt persönlich erschüttern sollte, es geht nicht um Dich! Aber es geht z.B. um die W-Lan-Passwörter tausender Firmennetzwerke, die auf diesem Weg nun in Klarschrift auf den Googleservern liegen.
 
@Bengurion: Genau, demnächst sieht man Weltweit Menschenmassen um Unternehmen herum, die alle ins W-Lan wollen. Und um ne W-Lan Party zu starten. Spaß beiseite, hast ja Recht. Aber ganz ehrlich, Jahr für Jahr nimmt es immer mehr zu mit solchen Datenskandalen oder sonstigen Zeug. Vor 20 Jahren hat es auch niemanden Interessiert, bei welchem Verlag oder Amt unsere Daten gespeichert waren. Heutzutage ist es eben alles Virtuell in der EDV und früher eben alles auf Papier. Wo ist das Problem? Man kann es auch übertreiben.
 
@Ceajay: Frag mal deinen Arbeitgeber ob du dich mit deinem Android in das Firmennetz einloggen darfst. ;-) /Edit Bengurion war schneller.
 
@hhgs: Nen Admin der das WLAN ins Firmennetz intergiert gehoert glaub ich eh gekuendigt :)
 
@-adrian-: An unsrer Uni läuft fast alles über WLAN, auch in der Forschung. In meinem Büro gehe ich sogar mit dem PC über WLAN rein. Und ich denke, dass mehr als genug Firmen mit WLAN arbeiten.
 
@hhgs: Wir sind ein kleines Familienunternehmen, und ja, stell dir vor, wir sind alle mit Andriod Handys in unserem W-Lan. :-)
 
@Ceajay: Eine kleine Familienbäckerei interessiert auch keinen.
 
@hhgs: Es ist ein IT-Unternehmen, so nebenbei am Rande. Auch wir haben ein Firmeninternes Netzwerk. Prinzip ist das selbe. Also nix Bäckerei und selbst wenn, glaubst du nicht, das auch der wichtige Infos, Passwörter, Kundendaten o.Ä. hat?
 
@hhgs: wieso regen sich dann alle so auf?!
 
@Ceajay: Neulich war im Fernsehen ein Bericht (ich glaube es war bei Spiegel TV) über ein mittelständisches Unternehmen, dass seine Ingenieure wieder mit Papier arbeiten lässt, damit externe die Pläne nicht über das Firmennetzwerk abgreifen können. Ist also nicht jeder so sorglos mit seinen Firmen-/Geschäftsgeheimnissen wie ihr...
 
Bei Streetview die WLan IDs abgegreiffen und jetzt für die Passwörter sorgen. Inzwischen scheint wohl alles in der IT erlaubt solange man unter dem Deckmantel der Terrorbekämpfung agiert.
 
Bei der Einrichtung eines jeden Android Smartphone wird man gefragt ob man das will oder nicht. Man kann aus jedem Thema ein Skandal produzieren wenn es genug Leute gibt die laut genug "Mord!!" schreien.
Wenn sich ein Benutzer dafür entscheidet die Daten auf Google Servern zu speichern wird er wohl wissen was er tut. Wenn nicht, selber Schuld.
 
@hundefutter: Nö, eigentlich geht jeder vernünftig denkende Mensch davon aus, dass diese Daten dort verschlüsselt liegen (wie es z.B. bei Apple gemacht wird). Dass man so vertrottelt (das ist jetzt mal nett, weil ohne Beweggrund unterstellend) wie Google sein kann, diese Passworte dort im Klartext zu speichern, darauf muss man erst mal kommen.
 
@Bengurion: Gibt es eigentlich Belege für die Aussagen bezüglich Plain Text? Ich kann nirgends was dazu finden.
 
@hundefutter: ja, gibt es. Hier ist der Blog desjenigen, der das herausgefunden hat: https://micahflee.com/2013/07/use-android-youre-probably-giving-google-all-your-wifi-passwords/
 
@Bengurion: Danke, werde ich mir gleich mal durchlesen.
 
@Bengurion: Wenn ich das richtig verstanden habe sind da auch alle ios geräte betroffen oder? Ich weiss jetzt nicht ob MS das auch anbietet aber wenn doch dann sind ihre geräte wohl auch betroffen. Zitat:"Companies advertise that they encrypt data, and they often do encrypt this data, however they also keep the encryption keys themselves. Dropbox is a good example – all your files are encrypted, however Dropbox can decrypt them themselves in response to law enforcement requests.

If iOS doesn’t force users to memorize an encryption passphrase (the key would be derived from the passphrase), or if it’s impossible to restore an iCloud backup from a brand new iPhone (the key is stored on the drive of the old phone), then their “encryption” doesn’t mean much when it comes to Apple keeping your data private from themselves."
 
@Bengurion: "wie es z.B. bei Apple gemacht wird" die sagen dir, das es so ist, woher willst du wissen, das die sich für Interne Zwecke nicht auch Ihre Kundendaten aneigenen bzgl. der Verkaufs oder was. Wenn es danach geht kannst du eh niemanden trauen. Jeder erzählt dir was von Datensicherheit oberste Priorität. Was genau die tatsächlich damit machen, kannst du als Außenstehender eh nicht nichtvollziehen.
 
@Ceajay: Da gebe ich Dir Recht. Die Frage ist letztlich, wo der private Schlüssel für die Verschlüsselung bei Apple gespeichert ist. Auf dem Gerät oder auf dem Appleserver. Ich kenn mich jetzt mit iOS nicht so aus, weiß von daher nicht, ob ein Passwort zur Schlüsselgenerierung überhaupt abgefragt wird.
Trotzdem ist es ein weiteres Manko, wenn Passwörter - wie jetzt aufgedeckt bei Google - im Plain Text abgelegt werden, weil auch Server können gehackt werden, wie wir oft genug schon erfahren haben (und sicherlich weitaus häufiger schon passiert ist).
 
@Bengurion: bei iOS muss man als Benutzer selbst ein Kennwort für die Verschlüsselung angeben. Alternativ gibt es auch eine Unverschlüsselte Sicherung aber bei dieser werden die Kennwörter nicht mitgesichert.
 
@hundefutter: ich hab letzte woche mein neues handy mit 4.2.2 bekommen und wurde bei der einrichtung definitiv NICHT gefragt, ob ich die backups aufm server anlegen will
 
@Slurp: Sobald du deinen google Account einrichtest wirst du gefragt. Punkt. Das hat nichts mit Gerät oder Version zu tun.
 
@hundefutter: aha? wo?
 
@Slurp: Einer der letzten Schritte: http://goo.gl/z0a1j
 
@hundefutter: ob dus mir glaubst oder nicht, aber *das* kam dabei definitiv nicht!
 
@Slurp: Sorry, das ist nicht ,öglich. Ich arbeite Beruflich damit und ich kann dir versichern das es in dieser oder ähnlicher Form gekommen sein muss, abhängig von den Google Services Version (bei 4.2.2 eher aktuell)
 
@hundefutter: wenn du meinst...
 
@hundefutter: Du weisst doch wie das ist: spätestens nach dem 3. popup drücken die meisten doch nur noch o.K - ohne nachzudenken.
 
@LastFrontier: "Du weisst doch wie das ist: spätestens nach dem 3. popup drücken die meisten doch nur noch o.K - ohne nachzudenken." Ist das so? Ich finde man sollte den User nicht als zu dumm darstellen. Sowas schafft mehr Probleme als gelöst werden.
 
@hundefutter: Also hier ist einer im Forum der glaubt das wohl auch: http://winfuture.de/comments/thread/#2245287
 
@LastFrontier: Zur Kenntnis genommen ;) Allerdings muss man sagen das es auf die Situation ankommt. Wenn ich in bekannten Situationen vom System gepromtet werde reagiere ich auch instinktiv. Beim aufsetzen eines neuen Gerätes hingegen bleibe ich aufmerksam. Ich denke viele 0815 Benutzer nehmen diesen Prozess des "Einrichtens" ernster als einige Leute in der Branche denken.
 
@hundefutter: Ja, gell? So einfach ist das... lalala die Sonne scheint so schön. lalala die Schafe weiden so schön...
 
@hundefutter: Sehe ich auch so. Nur wenn man jetzt zum allerersten Mal ein Androidphone/Tablet einrichtet denkt man zuerst "Geil..im Falle des Falles ist ja alles ganz leicht wieder hergestellt, ist ja nen Backup bei Google". Da ich aber ohnhin kein besonderer Freund von sowas bin (wer tut schon was ohne Gegenleistung) habe ich das bei all meinen Androiden deaktiviert. In Zeiten von PRISM, NSA usw. sind solche New´s natürlich Öl auf´s Feuer, und das nicht unberechtigt. Spätestens jetzt sollte jeder den Haken an schon gesagter Stelle rausnehmen ;-)
 
@hundefutter: So einfach ist das nun wieder nicht. Die Funktion ist ja an und für sich lobenswert. Wenn aber dann Passwörter unverschlüsselt abgelegt werden und Hinz und Kunz die nutzen kann, hört es auf. Und Spionage ist nicht nur auf das Auspähen von Internet-daten begrenzt. Bei Geheimdiensten wird durchaus noch echte handarbeit geleistet - z.B. in Form von Infiltrierung. Da muss bloss ein maulwurf an der richtigen Stelle sitzen. Wäre ja nicht das erste mal.
 
@hundefutter: Ist ja toll, dann muss ich deshalb auf eine Backup-Funktion verzichten? Tolles Ding...
 
@hhgs: dann mach es halt lokal auf deinem Rechner.
 
@hhgs: Na du musst sowieso auf nichts verzichten. Scheinst ja mit MS zufrieden zu sein.
 
@hundefutter: Man wird bei der Einrichtung aber nicht drauf hingewiesen, dass es UNVERSCHLÜSSELT ist !!!!!!
 
Uuuh... böses Google, speichert mein Wlan-Passwort, ob ich mal schaue ob ein Google-Mitarbeiter unten steht und sich in meinem Wlan einloggt?

Meine Fresse eh, man kann es auch übertreiben.
 
@CosaNostra: auch für Dich gilt mein Kommentar 09 re:04
 
@Bengurion: Was soll denn passieren? Niemand weiß, welch Daten auf den Servern abgelegen werden, was gespeichert wird.
Seit der PRISM-"Affäre" machen alle den "lauten", jeder der normal denken kann, sollte klar sein - das Teildaten gespeichert werden. Gibt heute noch Leute die denken sie seien mit Proxy zu 100% Anonym. WIR sind diejenigen die sich blind drauf verlassen und freiwillig unsere Daten rausrücken. Google will sich nur einen Ablauf sparen und zwar die Verschlüsselung. SMS sind auch nicht verschlüsselt, werden jeden Tag geschrieben. Wer leichtsinnig mit seinen Daten umgeht und sich auf andere verlässt, ist verlassen. Mir ist das egal, ob mein privates oder firmen-bedingtes Wlan-Password gespeichert wird.
 
@CosaNostra: Es geht ums Prinzip. Sensible Daten müssen entweder gehashed/gesalted oder verschlüsselt gespeichert werden. Bei Google wundert mich so ein grober Sicherheitsverstoss (wenn es denn stimmt), denn die haben im Gegensatz zu vielen anderen Firmen wirklich erfahrene Entwickler.
 
Auch wenn's Googles Plan seien mag, die Leute mit einem Skandal nach dem anderen abzustumpfen, werde ich nicht aufhören es zu kritisieren! Microsoft ist soll also pöhse sein, weil sie angeblich vorhaben, demnächst Wohnzimmer auszuhorchen. Aber wenn Google illegal W-Lans aushorcht, die Do-Not-Track-Funktion von Safari-Browsern kapert und nun W-Lans von Millionen Menschen gefährdet, durch das unverschlüsselte Ablegen der Zugangsdaten, behaupten die Fanboys natürlich, dass das nicht schlimm sei, weil es schlieslich Google sei und die können nun mal nicht pöhse... Einfalt, dein Name ist Google-Fanboy!
 
@AhnungslosER: Dein Name sagt alles, was hat das mit "Google-Fanboy" zutun? Dann verlass dich doch nicht auf solche Internetriesen und kauf dir nen normales Telefon ohne Internet etc. Du bist doch selbst Schuld in dem du Blind auf andere vertraust, dann lass es doch einfach.

Das ist kein "Fanboy"-Gehabe, das nennt man gesunden Menschenverstand.

Du bist bestimmt auch so einer mit Treuekarten/Payback und denkt er bekommt ne coole Prämie, wenn er 1000 Punkte hat.
 
@CosaNostra: Das Risiko ausspioniert zu werden besteht selbstverständlich grundsätzlich überall. Aber nun da bekannt ist, dass Dritte mitlesen, sollte den Leuten endlich mal klar werden, dass der Unterschied zwischen Apple, Google, Facebook, Microsoft, usw. der ist, dass Google sie am stärksten umgarnt. Damit weiß Google am meisten über sie und damit auch die mitlesenden Dritten, wenn sie sich die Google-Daten ziehen. Und übrigens: ich bin Facebook-, Twitter-, Google-Konto-, Whatsapp- und Payback-frei und SMS schreibe ich (fast) nie. Aber Danke für's Gespräch - nicht!
 
Natürlich werden die Passwörter nicht verschlüsselt.
Passwörter werden gehashed und gesalted!
Verschlüsselung würde ja bedeuten, dass man es wieder entschlüsseln könnte. Ist aber nicht der Fall. Es findet lediglich ein Stringvergleich des gehashten eingegebenen Passwortes und des gespeicherten Hashes statt. Btw. habe ich meine Daten noch nie irgendwo anders sichern lassen als auf meiner externen HD und meinem NAS.
 
haha, soviel zum geliebten Android. Die Sind schlimmer als der NSA.... Bin ja auf die Android befürworter gespannt....
 
Ist das beim Cyanogenmod auch der Fall?
 
@aclacl: "Einstellungen > Sichern & zurücksetzen > Meine Daten sichern" vorhanden und aktiviert? Wenn ja, ja
 
Unfassbar. Ich weiß nicht mehr, wenn ich unsympathischer finde: Google, Microsoft oder Apple.
 
@Karmageddon: willkommen im westen...da kannste noch ne ganze menge firmen mehr mit in den topf werfen
 
@Karmageddon: Aufgrund der Gesetzgebung im Land der begrenzten Unmöglichkeiten dürften sich Google, Microsoft, Facebook, Amazon, Instagram oder Apple alle nicht nennenswert unterscheiden, was die Informationsweitergabe angeht. Dennoch sehe ich das größte Risiko für Google-Nutzer. Denn was die Leute sich offenbar nicht klar machen, ist, dass Google sie am stärksten mit unzähligen Services umgarnt. Damit weiß Google am meisten über sie und damit auch die mitlesenden Dritten, wenn sie sich die Google-Daten ziehen. Deshalb, weil Google unter allen Internetfirmen die mit den umfangreichsten Nutzerprofilen seien dürfte, sehe ich das größte Risiko für Google-Nutzer.
 
tja selbst schuld wem das passiert, ist eben die eigene sorglosigkeit. backup gibts bei mir nur aufm pc da geht nix in die wolken oder sonstwohin.
aber für jedes smartphone gibt es ja eine bedienungsanleitung die man VOR in betriebnahme lesen sollte. wers nicht macht...pech gehabt. ansonsten gilt auch in diesem falle...RTFM. ;)
 
@cjtk: Also zum einen kenne ich kein Smartphone, bei dem noch eine Betriebsanleitung für Android beiliegt und zum anderen glaube ich kaum, dass man einer solchen entnehmen könnte, dass die Passwörter im Klartext gespeichert werden.
 
@heidenf: stimmt gebe ich dir erstmal so recht, wobei in meinem handbuch jedoch alles auf " google " ausgelegt ist von den beschreibungen her. ob g+ g-mail oder chat-on.
dies wird es glaube kaum aufm ei-fon oder w-fon geben.
aber auch bei diesen phones sollte es schon die möglichkeit
geben die sync auszuschalten und den speicherplatz für backups zu wählen. wer mit seinen daten so leichtsinnig selbst in der heutigen zeit umgeht brauch sich darüber eigentlich nicht wundern. wobei es klar ist das es so nun auch nicht geht mit " klartext " speicherung.
 
@cjtk: Bei der Ersteinrichtung wirst du gefragt, ob du deine Daten auf den Google Servern speichern möchtest. Ausserdem kannst du das auch jederzeit in den Android Einstellungen wieder deaktivieren. Was die Daten angeht, sehe ich das genauso. Meine Daten werden nur von einer Person gesichert. Nämlich von mir und per Truecrypt verschlüsselt.
 
@cjtk: Recht hast du ;)
Für die ganzen Trolle hier muss alles nur funktionieren, aber sich selber informieren -> Nö. Und dann beschweren die Heuchler sich hier noch um ein kostenloses Open Source OS. Das ist die einzig wahre Sauerei, 99% der Fehler sitzen vor PC/Smartphone.
Meckern tun se alle auch dann, wenn alle Daten weg sind -> Warum macht das gute Smartphone denn kein Backup !?!? Blablabla nur am meckern, nur am meckern jeden Tach derselber Scheiss
 
Ich verstehe nicht, dass das erst jetzt auffällt. Ich hab mich vor zwei Jahren schon gefragt, nach einem Handyreset, wieso plötzlich auch die ganzen Passwörter sofort wieder da sind und mich innerlich dabei über google geärgert, denn wo sonst sollte das herkommen. Das google wohl kaum freiwillig verschlüsselt konnte man sich da schon denken. Was bei meinem privaten WLAN total egal ist, ist bei Firmen schon heftig, denn der Weg ins Firmennetzwerk ist somit deutlich leichter (Wirtschaftsspionage lass grüßen)
 
@bowflow: so klar dass es unverschlüsselt gepspeichert wird ist es eigentlich nicht
 
@0711: Klar nicht, aber einfach sehr naheliegend.
 
@bowflow: wieso sollte das naheliegend sein? Jedes System das nur ansatzweise vernünftig mit Passwörtern umgeht überträgt(!) die Daten verschlüsselt und speichert sie mindestens nur als hash ab...idealerweise noch mit salz. Alles andere ist einfach nicht mehr zeitgemäß auch um die folgen von etwaigen einbrüchen im rahmen zu halten....
 
@0711: Es gibt da zwei Perspektiven für wen das sinnvoll ist. Für uns ist es natürlich sinnvoll und naheliegend zu verschlüsseln, für die Konzerne aber nicht. Gerade google nicht und die jüngsten Nachrichten zeigen auch, dass "womöglich" noch ganz andere Interesse daran haben die Zugriff auf google-Server haben ;-). Das Verschlüsselung überhaupt nicht selbstverständlich ist, sieht man aber auch sonst überall. Dropbox, Skydrive, überhaupt auch Laptops (wieviel % verschlüsseln schon ihre Festplatten), Whatsapp, emails.... Alles Bereiche wo eine Verschlüsselung nicht sonderlich schwer zu implementieren wäre. Die Konzerne pushen das aber nicht freiwiliig und die Bürger sind da eigentlich auch viel zu passiv....
 
@bowflow: PS: Wie lange hat es gedauert mal die Bürger davon zu überzeugen, dass WLANS überhaupt verschlüsselt werden müssen! Jahre! Und da musste der Gesetzgeber den Bürger eigentlich auch hintreten, indem er ihn haftbar gemacht hat, für alles was da so passiert. Dasselbe sollte eigentlich auch mal mit Mails etc. passieren.... Per Gesetz Verschlüsselte Kommunikation verordnen. Aber halt, irgendwas sagt mir, dass auch die Regierung da überhaupt kein Interesse dran hat.
 
Es mag ja sein, dass diese Thema wieder einmal aus unerfindlichen Gründen (Sommerloch?) wieder hochkocht, aber sind wir doch einmal ehrlich zu uns selbst.

Jetzt den schwarzen Peter bei Herrn Google etc. suchen zu wollen oder bei einem Handybetriebssystem ...

Wo liegen denn die "wichtigen" Daten? Auf der EC-Karte (Geld/Guthaben), der Krankenkassenkarte (bin ich noch gesund?), einer möglichen Payback-Karte (was habe ich wann und wo gekauft?) ... nehmen wir jetzt noch die Steuernummer oder Sozialversicherungsnummer hinzu haben wir doch ein tolles Profil von jedem einzelnen Mitbürger! Ganz ohne Herrn Google.

Wen kümmert dann das W-Lan-Passwort oder die persönlichen Kontakte auf einem Handy?

Es geht doch nur um Geld! Wenn ich die Informationen aus den o.g. elektronischen Informationskarten auslese und aggregiert (also zusammengefasst und bereinigt) darstelle, habe ich das perfekte Abbild des Lebens jedes einzelnen, dann interessiert mich ein W-Lan-Passwort doch recht wenig.

Mit der entsprechenden Software (e.g. SAP) ist das kein Hexenwerk solche Daten zu sammeln und darzustellen.

In meinen Augen ist eine Diskussion über Google oder Andriod oder Apple obsolet, denn ... SIE WISSEN BEREITS ALLES !!
 
Puh da hab ich seit Anfang richtig gehandelt. Die ganzen Sync Sachen sind bei mir deaktiviert. Das einzige was aktiv ist sind News und Gmail.
 
gmail steht für einen Dienst von... ? Wer hat Deine Daten also ... ?
 
@Rasenmäher: War die an mich? Falls ja.. wenn machen sie eh damit zum Teil Firmen-Spionage..
 
Ist ja auch einfacher für Google, dann brauchen sie nicht wieder WLANs scannen. Schon arm.
 
mit freundlichen Grüßen, Dein NSA-Inspektor...
 
da ich kein unternehmen bin und keine regierungstelle ist mir das ziemlich wurst wer das PW hat ... solang es nicht meine nachbarn sind ^^

aber da mein wlan grad mal bis zum klo reicht mach ICH mir da eh kein kopf das da jemand anders rein kommt ^^ doofer stahl beton ^^
 
Die Frage ist nur... Wer hatte mein WLAN-Passwort zu erst? Die NSA, Google, Microsoft, brittischer Geheimdienst. Oder doch Amazon (kindle). Vllt hat mein WLAN-Passwort auch Steam, Origin (mit Verweis auf dessen EULA). Oder Wargaming.net. Vielleicht hat auch schon lage der Staatstrojaner zugeschlagen... ;) Das WLAN-Passwort wird warscheinlich sowieso im Klartext übermittelt. Wer weiß wer da noch dazwischen hängt. Ich will damit nur sagen das es weit mehr WLAN-Passwort-Schnüffler gibt als man denkt. Die Sache an sich ist ernst. Schließlich könnte eine Art 2-Wege-Verschlüsselung mit EMEI und Google-Passwort zum Verschlüsseln verwendet werden. Aber mal ehrlich... Funktion deaktivieren und dann WLAN-Passwort ändern. (Was man sowieso in regelmäßigen Abständen tun sollte). Vielleicht nimmt man auch gleich noch praktischer weise das gleiche Passwort, das man auch bei seinem eMail-Postfach hat. :D
 
Mehr als meckern tut der Kunde nicht, was juckts Google und Co.???
 
naja insgesamt ja nichts neues. Die C'T Redaktion hat davon vor einiger Zeit ja schon berichtet.
 
Für was das ganze?
Bereitet sich Google auf eine riesige Dictionary-attack vor, oder wie(ala NOOB style)?
Bitte dann sollen sie meinen wlan Login haben, wenn sie meinen in meinem priv. Netz irgendetwas interessantes zu finden(wahrscheinlich versteckt sich dann ein nsa Agent im Busch neben meiner Wohnung)*lächerlich*!
Wir leben nicht in einen Überwachungsstaat sondern in einem Überwachungsglobus!
Ich frage mich einfach nur warum unsere Gesellschaft so rapide zu grunde geht.......ah jetzt fällts mir ein: Geld, Macht!
 
Hatte mich schon gewundert woher mein neues Tablet die Wlan Passwörter vom Hotel in Frankfurt kannte und die von der Arbeit, obwohl ich es dort nie eingelogt habe.
 
oh man, das war ja klar. wozu benutzt man dann noch passwörter.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles