Die Printausgabe von 20 Minuten gibts jetzt auch als ePaper.
Die 20 Minuten App Familie
Thank god it's Friday!
DIE Nightlife-Website für Partyverrückte aus aller Welt
Ihre Story, Ihre Informationen, Ihr Hinweis?
feedback@20minuten.ch 
Google-Dienste
18. Mai 2011 17:30; Akt: 18.05.2011 21:32 Print
9 von 10 Android-Nutzern droht Datenklau
von Daniel Schurter - Drahtlose Netzwerke sind gefährlich für Android-Smartphones. Angreifer können unbemerkt den Kalender und das Adressbuch stehlen. Betroffen sind über 90 Prozent der Geräte.
Ist es ein neues Problem? Nein. Kann darum Entwarnung gegeben werden? Sicher nicht. Fakt ist: Die meisten Android-Smartphones haben eine happige Sicherheitslücke. Vorinstallierte Apps schicken Daten unverschlüsselt übers Internet. Dies ermöglicht Dritten, heimlich mitzulauschen und sensible Informationen zu stehlen.
Problematisches «authToken»Auf Android-Smartphones sind verschiedene Google-Dienste wie der Kalender und das Adressbuch (Kontakte) vorinstalliert. Wenn sich der Nutzer mit Nutzernamen und Passwort bei den Google-Servern anmeldet, werden die entsprechenden Daten über eine sichere Verbindung (HTTPS) übertragen. Daraufhin erhält man von den Google-Servern ein «authToken», das maximal zwei Wochen gültig ist. Dank authToken können die Android-Smartphones ohne erneute vorgängige Authentifizierung mit den Google-Diensten kommunizieren.
Das Problem: Der Datenaustausch findet unverschlüsselt statt. Ein Angreifer kann das authToken heimlich abfangen, um Zugriff auf die Google-Dienste zu erhalten. So lassen sich Kalendereinträge, Kontakte und Bilder ausspähen, die der Android-Nutzer mit den Google-Diensten synchronisiert.
IT-Sicherheitsexperte Marc Ruef findet deutliche Worte: «Meines Erachtens hat Google versehentlich oder fahrlässig ein grundlegendes Konzept der Authentisierung missachtet. Dadurch, dass die Tokens mitgelesen und wiederverwendet werden können, werden sehr klassische Angriffsszenarien möglich.» In der Branche diskutiere man heftig darüber, sagt er gegenüber 20 Minuten Online.
Betroffen sind alle älteren Android-Versionen bis und mit Version 2.3.3 und Nutzer, die die Google-Dienste Kalender, Kontakte (Adressbuch) und Picasa (Bildbearbeitung) verwenden. Dies sind laut Schätzungen weit über
Mit einfachen Mitteln
Ein Sicherheitsexperte hatte bereits im Februar in seinem Blog auf Sicherheitslücken in Googles mobilem Betriebssystem Android hingewiesen. Deutsche Forscher von der Universität Ulm haben nun ausprobiert, wie sich die Schwachstellen in der Realität ausnutzen lassen.
Gefahr geht von öffentlichen Hotspots und anderen drahtlosen Netzwerken (WLAN) aus, sobald Daten unverschlüsselt übertragen und von Dritten abgefangen werden können. Ein Angreifer kann sich etwa in einer Starbucks-Filiale aufhalten und den Datenverkehr aufzeichnen, der über den kostenlosen Internetzugang läuft. Mithilfe eines Datenschnüffel-Tools - einem Sniffer - kann er auch unbemerkt Identifizierungsschlüssel für Google-Dienste abfangen (siehe Box).
Google hat mit einer offiziellen Stellungnahme reagiert: «Wir sind uns des Problems bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen.»
Was Android-Nutzer tun können
Der allerbeste Schutz ist auch der einfachste, wie die Forscher konstatieren. Offen zugängliche WLAN-Netzte sollten gemieden werden, insbesondere dann, wenn man mit einer der betroffenen Apps arbeitet. Wer dennoch am Bahnhof oder anderswo einen öffentlichen Hotspot nutzt, sollte die automatische Synchronisierung deaktivieren. Die Option ist in den Geräte-Einstellungen zu finden, unter «Konten & Synchronisierung». Ausserdem sollten keine Kontakte oder Termine hinzugefügt oder geändert werden, während man unterwegs ist. Vorsicht geboten ist auch bei Apps von Drittanbietern.
Sobald als möglich sollte das Betriebssystem aktualisiert werden. Die betroffenen Google-Apps greifen in den neuesten Android-Versionen 2.3.4. und 3.x zumindest für die Kalender und Kontakte auf verschlüsselte Verbindung (HTTPS) zurück. Allerdings können viele Nutzer die System-Updates vorläufig nicht durchführen - weil sie der Gerätehersteller noch nicht bereitgestellt hat. Bislang steht Android 2.3.4 fast ausschliesslich für Smartphones mit Mehrfach-Prozessor zur Verfügung, wie «ZDNet» berichtet.
Um das erneute automatische Verbinden mit bereits bekannten Hotspots zu verhindern, sollte beim Smartphone eine weitere Anpassung vorgenommen werden. Dazu ruft man die «WLAN-Einstellungen» auf, die unter «Drahtlos & Netzwerke» zu finden sind. Dort sind alle dem Gerät bereits bekannten WLAN-Netzwerke aufgelistet. Bei ungeschützten Netzwerken (ohne Schloss-Symbol) gilt es so lange auf den Netzwerknamen zu drücken, bis ein Kontextmenü eingeblendet wird. Nun lässt sich das Netzwerk entfernen.
«ZDNet» hat noch weitere Tipps, wie die Google-Dienste auf Android-Smartphones sicher genutzt werden können.
Die Sicherheitslücke betrifft übrigens nicht nur Android-Smartphones und -Tablets, sondern alle Geräte, die in einem offenen WLAN unverschlüsselt Daten austauschen. Auch jeder Windows-Laptop verbindet sich automatisch mit bekannten WLANs - dabei handelt es sich um eine Standardeinstellung.
Update 21 Uhr:
Google hat inzwischen bekanntgegeben, dass die Sicherheitslücke bei den Google-Diensten Kalender und Kontakte so schnell wie möglich behoben werden soll. Dies berichtet «All Things Digital». Das Unternehmen kündigte demnach an, umgehend einen «Fix» für das Problem zu veröffentlichen. Der Rollout sei bereits erfolgt, in den nächsten Tagen sollen alle Geräte das Update erhalten. Das Ganze passiere automatisch. Seitens des Nutzers sei kein Zutun erforderlich. Beim Foto-Dienst Picasa hingegen scheint noch keine Lösung in Sicht.
Fragen und Antworten rund um die Kommentar-Funktion
«Warum dauert es manchmal so lange, bis mein Kommentar sichtbar wird?»
Unsere Leser kommentieren fleissig - durchschnittlich gehen Tag für Tag 4000 Meinungen zu allen möglichen Themen ein. Da die Verantwortung für alle Inhalte auf der Website bei der Redaktion liegt, werden die Beiträge vorab gesichtet. Das dauert manchmal eben einige Zeit.
«Gibt es eine Möglichkeit, dass mein Beitrag schneller veröffentlicht wird?»
Wer sich auf 20 Minuten Online einen Account zulegt und als eingeloggter User einen Beitrag schreibt oder auf einen Kommentar antwortet, der wird vorrangig behandelt. Hat ein eingeloggter User bereits viele Kommentare verfasst, die freigegeben wurden, so werden seine neuen Beiträge mit oberster Priorität behandelt.
«Warum wurde mein Kommentar gelöscht?»
Womöglich wurde der Beitrag in Dialekt verfasst. Damit alle deutschsprachigen Leser den Kommentar verstehen, ist Hochdeutsch bei uns Pflicht. Sofort gelöscht werden Beiträge, die Beleidigungen, Verleumdungen oder Diffamierungen enthalten. Auch Kommentare, die aufgrund mangelnder Orthografie quasi unlesbar sind, werden das Licht der Öffentlichkeit nie erblicken. (oku)
Haben Sie allgemeine Fragen zur Kommentarfunktion?
Schreiben Sie an feedback@20minuten.ch
Hinweis: Wir beantworten keine Fragen, die sich auf einzelne Kommentare beziehen.
-
Alle 58 Kommentare
So viel Angst?
Wieder mal so ein inszeniertes Drama, scheint wirklich viel Angst vor Android zu bestehen.
Problem behoben.
Dies Problem wurde von Google bereits vor einigen Tagen behoben. Die Android Geräte können dieses Daten auch verschlüsselt versende. Google konnte dieses Problem serverseitig beheben, indem es nur noch verschlüsselte verbindungen zum Server zulässt. Wäre schön, wen dieser Artikel berichtig oder entfernt werden würde.
Nicht nur bei Android
Wieso tut die ganze Welt so als ob der Datenklau bei ungesicherten WLAN's nur bei Android möglich wäre? Das ist bei Apple und Microsoft genau gleich und da schreit auch keiner. Ausserdem wer in einem ungesicherten WLAN sensible Daten sendet oder empfängt ist doch wohl echt nicht mehr ganz bei Verstand. Hier kommt mal wieder finsterstes Mittelalter zum Vorschein, je schlechter man die Konkurrenz darstellt um so besser lässt sich der eigene Müll verkaufen...