News

 

18.05.2011

4phones.de auf Twitter Dieser Artikel als Druckversion 

Sicherheitslücke: Google-Dienste tauschen unverschlüsselt Daten aus

Sicherheitslücke: Google-Dienste tauschen unverschlüsselt Daten aus
Das mobile Betriebssystem Google Android weist eine gefährliche Sicherheitslücke auf, die möglicherweise sogar ein Zero-Day-Exploit darstellt. Forscher der Universität Ulm wiesen nach, dass persönliche Daten auf Android-Handys im unverschlüsselten WLAN-Netz ausgelesen werden können.

Durch einen Blog-Eintrag des amerikanischen Professors Dan Wallach von der Rice University wurden Wissenschaftler des Instituts für Medieninformatik der Universität Ulm auf eine Sicherheitslücke im Google-Betriebssystem aufmerksam gemacht. Wallach hatte herausgefunden, dass einige Android-Apps Daten unverschlüsselt übermitteln. In einem offenen WLAN-Netz könnten so Angreifer problemlos den Datenverkehr mitlesen.

Mehrere Google-Dienste senden unverschlüsselt



Die Forscher der Universität Ulm überprüften die Aussagen von Wallach und stellten fest, dass es sogar möglich ist, sich über ein eigenes WLAN-Netz als Diensteanbieter auszugeben. So könnte der Angreifer ein WLAN-Netz mit einem bekannten Namen wie etwa "Starbucks" oder "T-Mobile" anlegen. Hat sich der Nutzer bereits vorher schon mit einem WLAN-Netz verbunden, der den gleichen Namen trägt, würde sich das Smartphone mit dem Netzwerk des Angreifers automatisch verbinden.

Insbesondere die Google-Dienste Kalender, Kontakte und Picasa sollen von der Sicherheitslücke betroffen sein. Die Wissenschaftler weisen jedoch darauf hin, dass auch jede andere Anwendung gefährdet sein könnte, sofern sie das ClientLogin Authentication Protocol verwendet. Zwar erfolge die Anmeldung bei den Google-Servern verschlüsselt. Die Apps erhalten jedoch einen unverschlüsselten "authToken", so dass sich der Anwender für die nächsten 14 Tage nicht erneut anmelden muss.

99,7 Prozent aller Android-Smartphones betroffen



Angreifer, die eine verschlüsselte WLAN-Verbindung anzapfen und die WEP- oder WPA-Verschlüsselung knacken, haben ebenfalls mit der entsprechenden Software Zugang auf den Datenverkehr. Der Austausch bei Google Kalender und Kontakte erfolgt den Forschern zufolge bis einschließlich Android 2.3.3 unverschlüsselt. Davon seien etwa 99,7 Prozent aller Android-Smartphones betroffen. Die aktuelle Version 2.3.4 verwendet dann aber die sichere https-Verbindung. Der Foto-Dienst Picasa wurde erst seit Android 2.3 integriert. Hier werden die Daten jedoch bis zur Version 2.3.4 unverschlüsselt übertragen.

Die Wissenschaftler geben den Anwendern den Rat, die Firmware ihres Smartphones so schnell wie möglich auf Android 2.3.4 zu aktualisieren. Die aktuelle Version des mobilen Betriebssystems ist jedoch bislang kaum verfügbar. Zudem sollten die Nutzer die gespeicherten offenen WLAN-Netze vom Gerät löschen und die automatische Synchronisation der Dienste ausschalten.

Links zum Artikel:
Universität Ulm (Quelle)

Mirko Schubert

 

Newsletter abonnieren

Jede Woche top informiert!

Unser kostenloser Newsletter erscheint
wöchentlich und informiert Sie über aktuelle
Nachrichten aus dem Mobilfunk-Markt.
Das Abo kann jederzeit abbestellt werden.

Ihre E-Mail-Adresse