Falsche Aufregung um Sicherheitslücke in Android

Wer eine Verbindung zu einem offenen WLAN herstellt und dann persönliche Daten unverschlüsselt überträgt, geht ein großes Sicherheitsrisiko ein. Das wussten Sie schon? Drei Forscher von der Universität Ulm sehen darin eine Sicherheitslücke in Googles mobilem Betriebssystem Android. Sie fanden heraus, dass sich Smartphones und Tablets mit Android automatisch mit einem WLAN verbinden, das der Anwender in der Vergangenheit ausgewählt hatte. Nun besteht die Möglichkeit, dass ein Angreifer dieses Verhalten ausnutzt und ein eigenes WLAN aufbaut, das den gleichen Namen nutzt wie ein zuvor verwendetes Netzwerk. Das Android-Gerät würde sich dann automatisch damit verbinden.

Wird ein häufiger WLAN-Name (SSID) verwendet, ist die Wahrscheinlichkeit recht groß, dass sich einige Nutzer automatisch und nahezu unbemerkt damit verbinden. Beispiele sind "T-Mobile", "attwifi" oder "starbucks". Der Angreifer kann fortan den gesamten unverschlüsselten Datenverkehr mitlesen. Dazu ist lediglich eine Software wie Wireshark notwendig. Doch dieses Verhalten ist weder neu, noch trifft es nur auf Android zu. Sogar ein Windows-Laptop verbindet sich standardmäßig automatisch mit bekannten WLANs.

Android Die eigentliche Schwachstelle in Android, die von den Ulmer Forschern entdeckt wurde, befindet sich in den Google-Diensten, die auf den Smartphones und Tablets genutzt werden. Mindestens alle zwei Wochen muss sich ein Anwender mit seinem Nutzernamen und seinem Passwort bei den Google-Servern authentifizieren. Über eine verschlüsselte HTTPS-Verbindung werden die Anmeldedaten übertragen - von den Google-Servern erhält man daraufhin ein so genanntes authToken, das maximal zwei Wochen gültig ist. Damit kann ohne erneute Authentifizierung mit Google-Diensten wie dem Kalender, der Kontaktverwaltung sowie dem Fotodienst Picasa kommuniziert werden.

Die eigentliche Sicherheitslücke befindet sich in der Kommunikation mit Hilfe des authTokens. Der Datenaustausch mit den Google-Diensten findet unverschlüsselt statt, so dass ein Angreifer das authToken mitlesen kann, um damit Zugriff auf die Google-Dienste zu erhalten, so dass die dort gespeicherten Daten ausgespäht werden können. Die Ulmer Forscher sind der Ansicht, dass die Arbeit der Kriminellen erleichtert wird, indem automatisch eine Verbindung zu bekannten WLANs hergestellt wird, die sich leicht fälschen lassen. Ein Angreifer hätte also Zugriff auf Kalendereinträge, Kontakte und Fotos eines Android-Nutzers, die mit den Google-Diensten synchronisiert werden.

Diese Sicherheitslücke ist durchaus real und sollte von Google geschlossen werden. Mit Android 2.3.4, das erst seit wenigen Tagen erhältlich ist, hat man sogar begonnen, die Kommunikation mit den Google-Diensten zu verschlüsseln, um derartige Angriffe zu verhindern. Allerdings greift die Verschlüsselung zunächst nur für die Kalendereinträge und Kontakte - die Kommunikation mit dem Fotodienst bleibt weiterhin unverschlüsselt. Zudem ist es aufgrund der Update-Politik von Google, der Smartphone-Hersteller und Mobilfunkanbieter sehr schwierig, auf die aktuellste Version des Betriebssystems zu wechseln.

So real wie die Sicherheitslücke ist, so bekannt ist sie auch. Viele bekannte Online-Dienste sind davon betroffen. Zudem beschränkt sich das Problem keinesfalls auf Android-Smartphones, wie man nach einem Blick in die deutsche Presse denken würde. Facebook und Twitter sind nur zwei populäre Online-Dienste, deren Kommunikation sich abhören lässt. Diese Art von Angriffen wird als Sidejacking bezeichnet. Die Kriminellen stehlen den Session-Cookie ihres Opfers für das Online-Angebot und können für einen begrenzten Zeitraum auf die Dienste zugreifen. Die Firefox-Erweiterung Firesheep machte davon Gebrauch und bekam dadurch viel Aufmerksamkeit von den Medien.

Die Sicherheitslücke betrifft also nicht nur Android-Smartphones, sondern sämtliche Geräte, die in einem offenen WLAN unverschlüsselt Daten austauschen. Jeder Laptop mit Windows ist anfällig. Die Anbieter von Online-Diensten können durch diverse Maßnahmen verhindern, dass sich ein Angreifer durch Stehlen eines authTokens oder Session-Cookies Zugriff auf die Daten seines Opfers verschafft.

Update - 11:05 Uhr
Gegenüber der Nachrichtenagentur 'dpa' hat sich ein Google-Sprecher zu den Berichten über die Sicherheitslücke geäußert: "Wir sind uns des Problems bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen."

Weitere Informationen: Beschreibung der Schwachstelle der Ulmer Forscher Google, Android, Maskottchen Google, Android, Maskottchen Rich Dellinger
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:35 Uhr YV 520mb/s USB SticksYV 520mb/s USB Sticks
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
31,99
Ersparnis zu Amazon 20% oder 8
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!