Falsche Aufregung um Sicherheitslücke in Android
Sie fanden heraus, dass sich Smartphones und Tablets mit Android automatisch mit einem WLAN verbinden, das der Anwender in der Vergangenheit ausgewählt hatte. Nun besteht die Möglichkeit, dass ein Angreifer dieses Verhalten ausnutzt und ein eigenes WLAN aufbaut, das den gleichen Namen nutzt wie ein zuvor verwendetes Netzwerk. Das Android-Gerät würde sich dann automatisch damit verbinden.
Wird ein häufiger WLAN-Name (SSID) verwendet, ist die Wahrscheinlichkeit recht groß, dass sich einige Nutzer automatisch und nahezu unbemerkt damit verbinden. Beispiele sind "T-Mobile", "attwifi" oder "starbucks". Der Angreifer kann fortan den gesamten unverschlüsselten Datenverkehr mitlesen. Dazu ist lediglich eine Software wie Wireshark notwendig. Doch dieses Verhalten ist weder neu, noch trifft es nur auf Android zu. Sogar ein Windows-Laptop verbindet sich standardmäßig automatisch mit bekannten WLANs.
Die eigentliche Schwachstelle in Android, die von den Ulmer Forschern entdeckt wurde, befindet sich in den Google-Diensten, die auf den Smartphones und Tablets genutzt werden. Mindestens alle zwei Wochen muss sich ein Anwender mit seinem Nutzernamen und seinem Passwort bei den Google-Servern authentifizieren. Über eine verschlüsselte HTTPS-Verbindung werden die Anmeldedaten übertragen - von den Google-Servern erhält man daraufhin ein so genanntes authToken, das maximal zwei Wochen gültig ist. Damit kann ohne erneute Authentifizierung mit Google-Diensten wie dem Kalender, der Kontaktverwaltung sowie dem Fotodienst Picasa kommuniziert werden.
Die eigentliche Sicherheitslücke befindet sich in der Kommunikation mit Hilfe des authTokens. Der Datenaustausch mit den Google-Diensten findet unverschlüsselt statt, so dass ein Angreifer das authToken mitlesen kann, um damit Zugriff auf die Google-Dienste zu erhalten, so dass die dort gespeicherten Daten ausgespäht werden können. Die Ulmer Forscher sind der Ansicht, dass die Arbeit der Kriminellen erleichtert wird, indem automatisch eine Verbindung zu bekannten WLANs hergestellt wird, die sich leicht fälschen lassen. Ein Angreifer hätte also Zugriff auf Kalendereinträge, Kontakte und Fotos eines Android-Nutzers, die mit den Google-Diensten synchronisiert werden.
Diese Sicherheitslücke ist durchaus real und sollte von Google geschlossen werden. Mit Android 2.3.4, das erst seit wenigen Tagen erhältlich ist, hat man sogar begonnen, die Kommunikation mit den Google-Diensten zu verschlüsseln, um derartige Angriffe zu verhindern. Allerdings greift die Verschlüsselung zunächst nur für die Kalendereinträge und Kontakte - die Kommunikation mit dem Fotodienst bleibt weiterhin unverschlüsselt. Zudem ist es aufgrund der Update-Politik von Google, der Smartphone-Hersteller und Mobilfunkanbieter sehr schwierig, auf die aktuellste Version des Betriebssystems zu wechseln.
So real wie die Sicherheitslücke ist, so bekannt ist sie auch. Viele bekannte Online-Dienste sind davon betroffen. Zudem beschränkt sich das Problem keinesfalls auf Android-Smartphones, wie man nach einem Blick in die deutsche Presse denken würde. Facebook und Twitter sind nur zwei populäre Online-Dienste, deren Kommunikation sich abhören lässt. Diese Art von Angriffen wird als Sidejacking bezeichnet. Die Kriminellen stehlen den Session-Cookie ihres Opfers für das Online-Angebot und können für einen begrenzten Zeitraum auf die Dienste zugreifen. Die Firefox-Erweiterung Firesheep machte davon Gebrauch und bekam dadurch viel Aufmerksamkeit von den Medien.
Die Sicherheitslücke betrifft also nicht nur Android-Smartphones, sondern sämtliche Geräte, die in einem offenen WLAN unverschlüsselt Daten austauschen. Jeder Laptop mit Windows ist anfällig. Die Anbieter von Online-Diensten können durch diverse Maßnahmen verhindern, dass sich ein Angreifer durch Stehlen eines authTokens oder Session-Cookies Zugriff auf die Daten seines Opfers verschafft.
Update - 11:05 Uhr
Gegenüber der Nachrichtenagentur 'dpa' hat sich ein Google-Sprecher zu den Berichten über die Sicherheitslücke geäußert: "Wir sind uns des Problems bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen."
Weitere Informationen: Beschreibung der Schwachstelle der Ulmer Forscher
Wird ein häufiger WLAN-Name (SSID) verwendet, ist die Wahrscheinlichkeit recht groß, dass sich einige Nutzer automatisch und nahezu unbemerkt damit verbinden. Beispiele sind "T-Mobile", "attwifi" oder "starbucks". Der Angreifer kann fortan den gesamten unverschlüsselten Datenverkehr mitlesen. Dazu ist lediglich eine Software wie Wireshark notwendig. Doch dieses Verhalten ist weder neu, noch trifft es nur auf Android zu. Sogar ein Windows-Laptop verbindet sich standardmäßig automatisch mit bekannten WLANs.
Die eigentliche Schwachstelle in Android, die von den Ulmer Forschern entdeckt wurde, befindet sich in den Google-Diensten, die auf den Smartphones und Tablets genutzt werden. Mindestens alle zwei Wochen muss sich ein Anwender mit seinem Nutzernamen und seinem Passwort bei den Google-Servern authentifizieren. Über eine verschlüsselte HTTPS-Verbindung werden die Anmeldedaten übertragen - von den Google-Servern erhält man daraufhin ein so genanntes authToken, das maximal zwei Wochen gültig ist. Damit kann ohne erneute Authentifizierung mit Google-Diensten wie dem Kalender, der Kontaktverwaltung sowie dem Fotodienst Picasa kommuniziert werden.
Die eigentliche Sicherheitslücke befindet sich in der Kommunikation mit Hilfe des authTokens. Der Datenaustausch mit den Google-Diensten findet unverschlüsselt statt, so dass ein Angreifer das authToken mitlesen kann, um damit Zugriff auf die Google-Dienste zu erhalten, so dass die dort gespeicherten Daten ausgespäht werden können. Die Ulmer Forscher sind der Ansicht, dass die Arbeit der Kriminellen erleichtert wird, indem automatisch eine Verbindung zu bekannten WLANs hergestellt wird, die sich leicht fälschen lassen. Ein Angreifer hätte also Zugriff auf Kalendereinträge, Kontakte und Fotos eines Android-Nutzers, die mit den Google-Diensten synchronisiert werden.
Diese Sicherheitslücke ist durchaus real und sollte von Google geschlossen werden. Mit Android 2.3.4, das erst seit wenigen Tagen erhältlich ist, hat man sogar begonnen, die Kommunikation mit den Google-Diensten zu verschlüsseln, um derartige Angriffe zu verhindern. Allerdings greift die Verschlüsselung zunächst nur für die Kalendereinträge und Kontakte - die Kommunikation mit dem Fotodienst bleibt weiterhin unverschlüsselt. Zudem ist es aufgrund der Update-Politik von Google, der Smartphone-Hersteller und Mobilfunkanbieter sehr schwierig, auf die aktuellste Version des Betriebssystems zu wechseln.
So real wie die Sicherheitslücke ist, so bekannt ist sie auch. Viele bekannte Online-Dienste sind davon betroffen. Zudem beschränkt sich das Problem keinesfalls auf Android-Smartphones, wie man nach einem Blick in die deutsche Presse denken würde. Facebook und Twitter sind nur zwei populäre Online-Dienste, deren Kommunikation sich abhören lässt. Diese Art von Angriffen wird als Sidejacking bezeichnet. Die Kriminellen stehlen den Session-Cookie ihres Opfers für das Online-Angebot und können für einen begrenzten Zeitraum auf die Dienste zugreifen. Die Firefox-Erweiterung Firesheep machte davon Gebrauch und bekam dadurch viel Aufmerksamkeit von den Medien.
Die Sicherheitslücke betrifft also nicht nur Android-Smartphones, sondern sämtliche Geräte, die in einem offenen WLAN unverschlüsselt Daten austauschen. Jeder Laptop mit Windows ist anfällig. Die Anbieter von Online-Diensten können durch diverse Maßnahmen verhindern, dass sich ein Angreifer durch Stehlen eines authTokens oder Session-Cookies Zugriff auf die Daten seines Opfers verschafft.
Update - 11:05 Uhr
Gegenüber der Nachrichtenagentur 'dpa' hat sich ein Google-Sprecher zu den Berichten über die Sicherheitslücke geäußert: "Wir sind uns des Problems bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen."
Weitere Informationen: Beschreibung der Schwachstelle der Ulmer Forscher
Das Google Pixel 8 im Preisvergleich
Expert.de 
DieTechnik 
Expert_ecommerce 
Technikdirekt Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
-
Magcubic HY310: Billiger Beamer versagt im Test bei Bild und Ton
-
Mobiler Beamer oder XR-Brille? - Test zeigt deutlichen Sieger
-
Magcubic HY300F: Ballförmiger Beamer ist für den WM-Spaß ungeeignet
-
Pixel 10a: Reicht das Einsteigermodell oder doch besser Premium?
-
POCO X8 Pro im Test: Viel Smartphone für einen recht kleinen Preis
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Neue Microsoft-Geräte: Surface Pro und Surface Laptop sind da
- Tesla Cybercab: Batteriegröße, Gewicht und Leistung bestätigt
- Apple iPhone 18: Zulieferer bestätigt die Verschiebung auf 2027
- Wahnsinns-Deal: Samsung Galaxy S26 Ultra mit 50 GB Telekom-Tarif
- Was Tesla nicht schafft, setzt Xiaomi um, und stellt Laderoboterarm vor
- Aktionäre klagen: Ist Microsofts KI- & Cloud-Boom auf Lügen gebaut?
Videos
Neueste Downloads
Beliebte Nachrichten
Michael Diestelberg
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
Die BCON26, das größte Treffen von Blender-Experten
d-hubs - Gestern 14:09 Uhr -
dav2d: ein sehr schneller plattformübergreifender AV2 decoder
d-hubs - Vorgestern 15:26 Uhr -
Neues von Proxmox, dem Virtualisieurngsspezialisten
d-hubs - Vorgestern 10:53 Uhr -
#FLOCK ´26: die Flock to Fedora Project Conference
d-hubs - 14.06. 16:05 Uhr -
DigiKam: das Open-Source-Fotoverwaltungsprogramm
d-hubs - 13.06. 13:22 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen