Sicherheitslücke in Android entdeckt, Google reagiert schnell

Von: Eugen / Am: / In: Android Software

Ihr habt es sicherlich schon mitbekommen, dass Android in den letzten Tagen ein ganz großes Thema in den Medien war. Nun dabei geht darum, dass ein paar “Forscher” einen Wireshark Mitschnitt gemacht haben, als sich ein Android Smartphone in einem ungesicherten WLan Netzwerk eingewählt hat. Wer sich mit Android nicht so gut auskennt, der weiß vielleicht auch nicht, dass die automatische Synchronisation immer aktiviert ist und sobald man eine Verbindung hat, wird das Google Konto abgeglichen. Und an dieser Stelle ist auch schon die Sicherheitslücke, über die berichtet wird. Denn beim Anmelden an den Google Servern können private Daten ausgespäht werden und der Angreifer bekommt ganz leicht Zugriff auf den Kalender und das Adressbuch. Google hat aber schnell reagiert  und wird in den nächsten Tagen ein Server Update durchführen, von dem der Anwender aber nichts merken wird.

Eigentlich ist das Thema überflüssig und das Problem ist schon lange bekannt, denn die Gefahr ausgespäht zu werden besteht ja nicht nur bei Android Smartphones, sondern auch bei Net- und Notebooks, die sich in ein offenes Netz einwählen. Seit dem Jahr 2010 ist es auch verboten offene WLAN Netzwerke zu betreiben, doch man findet sie immer wieder, wie zum Beispiel in Cafés oder bei McDonalds. Wenn man sich jetzt mit seinem Android Smartphone bei Google anmeldet, wird die Authentifizierung durch den Benutzernamen und Passwort abgefragt. Nach der erfolgreichen Anmeldung wird euch ein Authentifizierungsrtoken  zugeteilt. Wenn diese Verbindung über https/ssl verläuft ist es nicht möglich dieses Token auszulesen.

Doch die https/ssl Übertragung war erst ab der Android Version 2.3.4 verfügbar. Das heißt, dass alle Geräte, die kein Android 2.3.4 vorweisen können (fast alle) sind bei solchen Angriffen völlig ungeschützt. Wenn jemand also ein Überwachungstool in einem offenem WLAN Netzwerk anschmeißt und ihr logt euch da ein kann er auf eure Daten zugreifen.

Wenn ihr euch also in offene WLAN Netzwerke einloggt, dann solltet ihr nicht mit Google synchronisieren oder zum Beispiel Bilder bei Picasa hochladen. Wenn ihr öfters in einem offenem WLAN Netzwerk unterwegs seid, solltet ihr die automatische Synchronisation deaktivieren. Dazu geht ihr in Einstellungen => Konten & Synchronisation und dort macht ihr den Hacken bei “Automatische Synchronisierung” weg.

Wie schon erwähnt, existiert diese Sicherheitslücke bei Android 2.3.4 nicht mehr und Google hat auf die Meldungen der letzten tage reagiert und sich folgendermaßen dazu geäußert:

Today we’re starting to roll out a fix which addresses a potential security flaw that could, under certain circumstances, allow a third party access to data available in calendar and contacts. This fix requires no action from users and will roll out globally over the next few days.

Wie Google es in dieser Meldung zum Schluss erwähnt, werdet ihr von diesem Update oder Fix nichts mitbekommen. Ich finde es auf jeden Fall gut, dass Google schnell reagiert hat. Was sagt ihr zu diesem Thema?

Quelle: TheNextWeb und Uni Ulm (Danke Clemens)

Tags: , , , , , , , , , , , , , , ,

Hat dir der Artikel gefallen?
Dann teile ihn doch mit deinen Freunden: