Das Smartphone-Betriebsystem Android ist mittlerweile auf rund der Hälfte aller Smartphones zu finden. Nahezu alle dieser Geräte sollen von der Sicherheitslücke betroffen sein, die die Medieninformatiker Bastian Könings, Jens Nickels und Florian Schaub der Universität Ulm gefunden und öffentlich gemacht haben. Sie waren einem Hinweis aus dem Weblog von Dan Wallace, einem Professor an der nordamerikanischen Rice University, nachgegangen.
Google sei über das Sicherheitsleck bereits informiert, sagen sie. Google prüft die Erkenntnisse eigenen Angaben zufolge zunächst. Deshalb sollten sich Android-Nutzer derzeit noch vorsichtiger bei der Nutzung öffentlicher WLAN-Netze sein. Kriminelle oder auch andere unangenehme Zeitgenossen könnten das Leck nämlich nutzen, um sensible Daten auszulesen oder zu verändern.
Dazu müssten sie lediglich ein offenes WLAN erstellen, das einen häufig von offenen WLAN-Netzwerken genutzten Netzwerknamen verwendet, beispielsweise „Free Public WiFi „ oder „Telekom„ (früher „tmobile„), wie die Hotspots in einer bekannten Fastfood-Restaurantkette heissen. Das Android-Betriebssystem auf dem Smartphone erkennt das WLAN-Netzwerk als bekanntes, weil schon einmal genutztes, WLAN und verbindet sich automatisch, wenn es in seine Reichweite kommt.
Einige Anwendungen auf dem Android-Gerät verwenden authToken. Diese Token sind Authentifizierungsdateien, die bis zu zwei Wochen auf dem Mobiltelefon gespeichert bleiben, nachdem es sich einmal bei dem Synchronisationsdienst (zum Beispiel Kalender-, Kontakte-, Cloud- und Emaildienste) angemeldet hat. Wenn diese Anwendungen nun versuchen, sich über das offene WLAN-Netzwerk, mit dem das Mobiltelefon verbunden ist, zu synchronisieren, kann der Kriminelle die Token abfangen und nutzen, um die Daten der Anwendungen auszulesen und zu verändern.
Weil das Sicherheitsleck in allen Android-Versionen besteht, bleibt Nutzern derzeit nur die Möglichkeit, die Gefahr zu umgehen. Sie sollten WLAN-Hotspots meiden, raten die Informatiker. Sollte doch ein offenes WLAN verwendet worden sein, kann dessen Speicherung in den Android-Einstellungen unter „WLAN-Netzwerke„ gelöscht werden. Dadurch wird verhindert, dass sich Android, das WLAN „merkt„ und sich später automatisch mit einem gleichnamigen Netzwerk verbindet. WLAN möglichst nicht ständig aktiviert zu haben, ist ebenfalls eine Möglichkeit, die automatische Verbindung mit einem offenen WLAN-Netzwerk zu unterbinden.
Es ist zu bedenken, dass ein solches Problem nicht nur unter Android und mit einigen Google Apps, sondern auch bei der Nutzung eines offenen Netzwerks mit anderen Clients bestehen kann, die Dienste verwenden, deren Token unverschlüsselt per http übertragen werden.
Update vom 18.05.2011
Google sagte gegenüber der dpa (Deutsche Presse-Agentur GmbH), man arbeite an einer Lösung.
Update vom 20.05.2011
Google kündigte noch am selben Tag an, die Sicherheitslücke durch ein Update zu schliessen. Die betroffenen Applikationen, der Kalender und die Kontakte, sollen dann sich danach nur noch verschlüsselt per https synchronisieren.
Hinterlasse jetzt einen Kommentar