Sicherheitsleck in Smartphone-Betriebssystem Android – Vorsicht im offenen WLAN

Android

Das Smartphone-Betriebsystem Android ist mittlerweile auf rund der Hälfte aller Smartphones zu finden. Nahezu alle dieser Geräte sollen von der Sicherheitslücke betroffen sein, die die Medieninformatiker Bastian Könings, Jens Nickels und Florian Schaub der Universität Ulm gefunden und öffentlich gemacht haben. Sie waren einem Hinweis aus dem Weblog von Dan Wallace, einem Professor an der nordamerikanischen Rice University, nachgegangen.

Google sei über das Sicherheitsleck bereits informiert, sagen sie. Google prüft die Erkenntnisse eigenen Angaben zufolge zunächst. Deshalb sollten sich Android-Nutzer derzeit noch vorsichtiger bei der Nutzung öffentlicher WLAN-Netze sein. Kriminelle oder auch andere unangenehme Zeitgenossen könnten das Leck nämlich nutzen, um sensible Daten auszulesen oder zu verändern.

Dazu müssten sie lediglich ein offenes WLAN erstellen, das einen häufig von offenen WLAN-Netzwerken genutzten Netzwerknamen verwendet, beispielsweise „Free Public WiFi „ oder „Telekom„ (früher „tmobile„), wie die Hotspots in einer bekannten Fastfood-Restaurantkette heissen. Das Android-Betriebssystem auf dem Smartphone erkennt das WLAN-Netzwerk als bekanntes, weil schon einmal genutztes, WLAN und verbindet sich automatisch, wenn es in seine Reichweite kommt.

Einige Anwendungen auf dem Android-Gerät verwenden authToken. Diese Token sind Authentifizierungsdateien, die bis zu zwei Wochen auf dem Mobiltelefon gespeichert bleiben, nachdem es sich einmal bei dem Synchronisationsdienst (zum Beispiel Kalender-, Kontakte-, Cloud- und Emaildienste) angemeldet hat. Wenn diese Anwendungen nun versuchen, sich über das offene WLAN-Netzwerk, mit dem das Mobiltelefon verbunden ist, zu synchronisieren, kann der Kriminelle die Token abfangen und nutzen, um die Daten der Anwendungen auszulesen und zu verändern.

Weil das Sicherheitsleck in allen Android-Versionen besteht, bleibt Nutzern derzeit nur die Möglichkeit, die Gefahr zu umgehen. Sie sollten WLAN-Hotspots meiden, raten die Informatiker. Sollte doch ein offenes WLAN verwendet worden sein, kann dessen Speicherung in den Android-Einstellungen unter „WLAN-Netzwerke„ gelöscht werden. Dadurch wird verhindert, dass sich Android, das WLAN „merkt„ und sich später automatisch mit einem gleichnamigen Netzwerk verbindet. WLAN möglichst nicht ständig aktiviert zu haben, ist ebenfalls eine Möglichkeit, die automatische Verbindung mit einem offenen WLAN-Netzwerk zu unterbinden.

Es ist zu bedenken, dass ein solches Problem nicht nur unter Android und mit einigen Google Apps, sondern auch bei der Nutzung eines offenen Netzwerks mit anderen Clients bestehen kann, die Dienste verwenden, deren Token unverschlüsselt per http übertragen werden.

Update vom 18.05.2011

Google sagte gegenüber der dpa (Deutsche Presse-Agentur GmbH), man arbeite an einer Lösung.

Update vom 20.05.2011

Google kündigte noch am selben Tag an, die Sicherheitslücke durch ein Update zu schliessen. Die betroffenen Applikationen, der Kalender und die Kontakte, sollen dann sich danach nur noch verschlüsselt per https synchronisieren.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


neunzehn − elf =

Die aktuellsten telespiegel Nachrichten
facebook

Facebook – Bundeskartellamt will Like-Button verbieten

Facebook erhebt massenhaft Daten über Plugins, die auf fremden Webseiten installiert sind. Das sieht das Bundeskartellamt als Missbrauch der marktbeherrschenden Stellung an und fordert das Unternehmen auf, dieses zu unterlas... mehr
trojaner

Emotet – gefährlicher Trojaner wirkt harmlos

Der Trojaner Emotet richtet in Deutschland erhebliche Schäden an. Das Bundesamt für Sicherheit in der Informationstechnik hat mehrfach Warnungen veröffentlicht, da ganze Unternehmen lahmgelegt wurden. Er kommt als Anhang i... mehr
Paket

Ankaufsportale – Vorsicht, extrem niedrige Preise

Die Verbraucherzentrale Nordrhein-Westfalen hat Ankaufsportale getestet. Diese locken Kunden mit einfachen Abläufen und einem guten Preis. Die Realität sieht jedoch anders aus. Häufig zahlen die Anbieter nur Cent-Beträge ... mehr
AU

Krankschreibungen – AU-Bescheinigungen per WhatsApp

Ein neues Angebot erlaubt es Patienten, auf den Arztbesuch zu verzichten und eine Krankschreibung per WhatsApp zu erhalten. Der über eine App abgewickelte Service ist kostenpflichtig. Außerdem gibt es Kritik, die insbesonde... mehr
Neutrogena-skin360

Neutrogena Skin 360 und MaskiD – Hautanalyse und Gesichtspflege durch Smartphone-App

Auf der diesjährigen CES, der weltgrößten Messe für Unterhaltungselektronik, stellte der Kosmetikhersteller Neutrogena eine Erweiterung für sein Produkt Skin360 vor. Mit einem Aufsatz für das Smartphone und einer App ka... mehr
Studie

Digital Detox – so schalten die Deutschen ab

Das digitale Entgiften, also das Ausschalten von Smartphones und anderen Geräten, gehört nicht zur leichtesten Aufgabe. Nur 36 Prozent glauben, eine Woche ohne Smartphone auszukommen. Die meisten haben es immer dabei, jeder... mehr