Viele Millionen Nutzer sind von der Sicherheitslücke im Betriebssystem Android betroffen, denn Android Apps senden Authentifizierungstoken unverschlüsselt. Kriminelle können diese Sicherheitslücke bei der Synchronisierung ausnutzen und fremde Inhalte eines Nutzers in den Anwendungen Google Calendar, Google Contact und Picasa Galerien manipulieren.
Das Problem betrifft nicht nur Google Apps, sondern auch alle Android- sowie Desktop-Anwendungen, die das ClientLogin-Protokoll über HTTP (unverschlüsselt) statt HTTPS verwenden und über ein unverschlüsseltes WLAN Daten austauschen. Grundsätzlich ist zu empfehlen, die benutzte WLAN Verbindung mit der WEP-Methode oder besser mit der WPA-Methode zu verschlüsseln.
Bekannt sollte allgemein sein, dass man in unverschlüsselten WLANs die übertragenen Daten mitlesen kann. Mit Besitz des AutheToken ist Zugriff in einer unverschlüsselten Datenverbindung über die Google-API mit den Daten eines anderen möglich.
Einige Anwendungen erhalten bei der Anmeldung am Google-Server einen sogenannten Authentifizierungs-Token (AutheToken). Dieser wird später unverschlüsselt gesendet, so dass ein Angreifer sich diesen Authentifizierungs-Token kopieren und weiter verwenden kann. Diesen Token kann man mit der Software Wireshark finden. Das Szenario berichteten Forscher der Universität Ulm.
In den Android Vesionen 2.3.4 und 3 hat Google die Synchronisierungszugriffe für den Kalender und die Kontakte auf HTTPS inzwischen auf umgestellt. Die Ulmer Forscher empfehlen bei der Entwicklung von Apps für das ClientLogin-Protokoll immer HTTPS zu verwenden.
Google arbeitet an einer Lösung für das beschriebene Problem. Jedoch gibt es für die meisten Geräte noch keinen Update zur Schließung dieser Sicherheitslücke. Die Android Versionen 2.1 und 2.2 sind schätzungsweise auf 90 Prozent der mobilen Geräte installiert.
Weiterhin wird im Android OS empfohlen, unter Einstellungen → Konten und Synchronisierung → die automatische Synchronisation abzuschalten. Das verhindert einen automatischen Datenabgleich und die Übertragung des AutheToken beim Verbinden in offenen WLAN Funknetzen bzw. über das unverschlüsselte HTTP-Protokoll.
Das könnte Sie auch interessieren:
- Barcodes oder QR-Codes in Excel importieren
- Apps greifen Daten ab
- Sicherheit am WLAN Hotspot
- Android sendet Standortdaten mit Erlaubnis
- Sicherheitslücke in Android 2.3 nicht geschlossen!
- Sicherheit mit dem Smartphone und Tablet-PC
- Tipp: Welche Einstellungen bei Android deaktiviert werden sollen
- Tipp: Google+ Tools / Werkzeuge
- FBI scheitert an Pattern Screen Lock von Android
- Download Hitlisten: Android Apps für Smartphone und Tablet-PC