Google-Dienste9 von 10 Android-Nutzern droht Datenklau
Drahtlose Netzwerke sind gefährlich für Android-Smartphones. Angreifer können unbemerkt den Kalender und das Adressbuch stehlen. Betroffen sind über 90 Prozent der Geräte.
Ist es ein neues Problem? Nein. Kann darum Entwarnung gegeben werden? Sicher nicht. Fakt ist: Die meisten Android-Smartphones haben eine happige Sicherheitslücke. Vorinstallierte Apps schicken Daten unverschlüsselt übers Internet. Dies ermöglicht Dritten, heimlich mitzulauschen und sensible Informationen zu stehlen.
Betroffen sind alle älteren Android-Versionen bis und mit Version 2.3.3 und Nutzer, die die Google-Dienste Kalender, Kontakte (Adressbuch) und Picasa (Bildbearbeitung) verwenden. Dies sind laut Schätzungen weit über 90 Prozent aller Android-Nutzer. Hingegen soll Googles kostenloser Mail-Dienst Gmail diesbezüglich sicher sein.
Mit einfachen Mitteln
Ein Sicherheitsexperte hatte bereits im Februar in seinem Blog auf Sicherheitslücken in Googles mobilem Betriebssystem Android hingewiesen. Deutsche Forscher von der Universität Ulm haben nun ausprobiert, wie sich die Schwachstellen in der Realität ausnutzen lassen.
Gefahr geht von öffentlichen Hotspots und anderen drahtlosen Netzwerken (WLAN) aus, sobald Daten unverschlüsselt übertragen und von Dritten abgefangen werden können. Ein Angreifer kann sich etwa in einer Starbucks-Filiale aufhalten und den Datenverkehr aufzeichnen, der über den kostenlosen Internetzugang läuft. Mithilfe eines Datenschnüffel-Tools - einem Sniffer - kann er auch unbemerkt Identifizierungsschlüssel für Google-Dienste abfangen (siehe Box).
Google hat mit einer offiziellen Stellungnahme reagiert: «Wir sind uns des Problems bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen.»
Was Android-Nutzer tun können
Der allerbeste Schutz ist auch der einfachste, wie die Forscher konstatieren. Offen zugängliche WLAN-Netzte sollten gemieden werden, insbesondere dann, wenn man mit einer der betroffenen Apps arbeitet. Wer dennoch am Bahnhof oder anderswo einen öffentlichen Hotspot nutzt, sollte die automatische Synchronisierung deaktivieren. Die Option ist in den Geräte-Einstellungen zu finden, unter «Konten & Synchronisierung». Ausserdem sollten keine Kontakte oder Termine hinzugefügt oder geändert werden, während man unterwegs ist. Vorsicht geboten ist auch bei Apps von Drittanbietern.
Sobald als möglich sollte das Betriebssystem aktualisiert werden. Die betroffenen Google-Apps greifen in den neuesten Android-Versionen 2.3.4. und 3.x zumindest für die Kalender und Kontakte auf verschlüsselte Verbindung (HTTPS) zurück. Allerdings können viele Nutzer die System-Updates vorläufig nicht durchführen - weil sie der Gerätehersteller noch nicht bereitgestellt hat. Bislang steht Android 2.3.4 fast ausschliesslich für Smartphones mit Mehrfach-Prozessor zur Verfügung, wie «ZDNet» berichtet.
Um das erneute automatische Verbinden mit bereits bekannten Hotspots zu verhindern, sollte beim Smartphone eine weitere Anpassung vorgenommen werden. Dazu ruft man die «WLAN-Einstellungen» auf, die unter «Drahtlos & Netzwerke» zu finden sind. Dort sind alle dem Gerät bereits bekannten WLAN-Netzwerke aufgelistet. Bei ungeschützten Netzwerken (ohne Schloss-Symbol) gilt es so lange auf den Netzwerknamen zu drücken, bis ein Kontextmenü eingeblendet wird. Nun lässt sich das Netzwerk entfernen.
«ZDNet» hat noch weitere Tipps, wie die Google-Dienste auf Android-Smartphones sicher genutzt werden können.
Die Sicherheitslücke betrifft übrigens nicht nur Android-Smartphones und -Tablets, sondern alle Geräte, die in einem offenen WLAN unverschlüsselt Daten austauschen. Auch jeder Windows-Laptop verbindet sich automatisch mit bekannten WLANs - dabei handelt es sich um eine Standardeinstellung.
Update 21 Uhr:
Google hat inzwischen bekanntgegeben, dass die Sicherheitslücke bei den Google-Diensten Kalender und Kontakte so schnell wie möglich behoben werden soll. Dies berichtet «All Things Digital». Das Unternehmen kündigte demnach an, umgehend einen «Fix» für das Problem zu veröffentlichen. Der Rollout sei bereits erfolgt, in den nächsten Tagen sollen alle Geräte das Update erhalten. Das Ganze passiere automatisch. Seitens des Nutzers sei kein Zutun erforderlich. Beim Foto-Dienst Picasa hingegen scheint noch keine Lösung in Sicht.
Problematisches «authToken»
Auf Android-Smartphones sind verschiedene Google-Dienste wie der Kalender und das Adressbuch (Kontakte) vorinstalliert. Wenn sich der Nutzer mit Nutzernamen und Passwort bei den Google-Servern anmeldet, werden die entsprechenden Daten über eine sichere Verbindung (HTTPS) übertragen. Daraufhin erhält man von den Google-Servern ein «authToken», das maximal zwei Wochen gültig ist. Dank authToken können die Android-Smartphones ohne erneute vorgängige Authentifizierung mit den Google-Diensten kommunizieren.
Das Problem: Der Datenaustausch findet unverschlüsselt statt. Ein Angreifer kann das authToken heimlich abfangen, um Zugriff auf die Google-Dienste zu erhalten. So lassen sich Kalendereinträge, Kontakte und Bilder ausspähen, die der Android-Nutzer mit den Google-Diensten synchronisiert.
IT-Sicherheitsexperte Marc Ruef findet deutliche Worte: «Meines Erachtens hat Google versehentlich oder fahrlässig ein grundlegendes Konzept der Authentisierung missachtet. Dadurch, dass die Tokens mitgelesen und wiederverwendet werden können, werden sehr klassische Angriffsszenarien möglich.» In der Branche diskutiere man heftig darüber, sagt er gegenüber 20 Minuten Online.
