Sicherheitslücke in Android legt Kalender und Kontakte offen

Ein Forscherteam der Universität Ulm hat eine erhebliche Sicherheitslücke in Android entdeckt, die völlig unkompliziert Zugriff auf das Adressbuch und den Kalender fremder Smartphones erlaubt. Wer sich mit einem offenen WLAN verbindet, riskiert dabei die Offenlegung sensibler Daten. Der Trick dabei: wenn Android sich einmal in einem offenen WLAN ohne Passwort angemeldet hat, wird es beim nächsten Mal, wenn das Netzwerk in Reichweite ist, wieder automatisch eine Verbindung damit aufbauen. Dabei wird allerdings eine unverschlüsselte Datei – der sogenannte Token – zur Cloud-Synchronisation übertragen – und diese Datei kann dazu genutzt werden, das verbundene Smartphone zu komprommitieren, Daten aus Kontakten und Kalender auslesen und zu manipulieren.

Der Token behält 14 Tage lang Gültigkeit, bis er erneuert wird – solange haben Angreifer theoretisch die Möglichkeit, ständig sowohl persönliche Daten auszuspionieren als auch Daten beim Synchronisieren abzufangen. Ein Angreifer könnte sich diese Lücke zunutze machen und gezielt manipulierte WLANs einrichten, insbesondere im städtischen Bereich. Welche anderen Apps diesen Token zur Identifikation nutzen, ist unbekannt – Google soll das Problem derzeit prüfen, wollte aber keine weiteren Angaben dazu machen.

Betroffen sind rund 99 Prozent aller Android-Nutzer. Wie Untersuchungen ergaben, fällt das Problem bei Android 2.3.4 und Android 3.0 etwas harmloser aus: offenbar fiel Google selbst die Lücke bereits auf, weshalb der Kalender und die Kontakte einen anderen Token nutzen – andere Apps sind jedoch weiterhin möglicherweise betroffen. Abhilfe gibt es aktuell keine – außer einer sehr skeptischen Einstellung gegenüber offenen WLANs!

Was sagt Ihr zum Datenleck? Ist es nun der GAU für Android?

Quelle
Foto: Super Task Killer 2011

Trage diesen Artikel in Social Dienste ein
  • MisterWong.DE
  • Digg
  • Webnews.de
  • del.icio.us
  • MySpace
  • Facebook
  • Mixx
  • LinkArena
  • Sphinn
  • Google
  • LinkedIn
  • Live
  • Wikio
  • Yigg
Dieser Eintrag wurde am Dienstag, Mai 17th, 2011 um 21:49 veröffentlicht.
Kategorie: Android OS, News.

5 Kommentare

  1. Ich hoffe, die bekommen das Problem bald in den Griff. Hab keinen Bock meine Daten mit aller Welt zu teilen. Ich seh es schon kommen: Bald trägt jeder wieder das gute alte Notizbuch mit sich herum – dort kann sich nämlich keiner einklicken und Daten auslesen…

  2. Andreas Claar

    wenn das ein gau ist, ist das ganze Internet ein Gau , wenn ich mir anschaue was beim normalen surfen eines “normalen”Users in Klartext über die Leitung oder das Wlan geht … Windows Passwörter alles mögliche an OnlineDiensten mit Klartext Authentifizierung. Klar kann man das meiste verschlüsseln , aber welcher normale user achtet auf das https oben im Browser. und wer sein wlan nicht verschlüsselt ……

  3. Christian

    Naja, es geht darum, dass Datenskandale häufig von Medien aufgebauscht werden und Google gerade in Deutschland (zu unrecht) nicht das beste Standing in Sachen Datenschutz hat. Im Lokalradio wird natürlich auch schon berichtet… und da heißt es auf die Frage “Wie erkenne ich, ob ich ein Android Handy habe?” “Beim Starten sieht man ein grünes Männchen…” Ok… :-/

  4. esteven

    Hallo,
    das Problem besteht doch nur, wenn man das Wlan nutzt.
    Wer mit nem offenen Wlan durch die Gegend rennt, ist doch selbst Schuld: zieht Strom, macht Dein Handy offen für Angriffe.
    Was also nicht heißen soll, das das Problem harmlos ist – ganz und gar nicht!
    Das zeigt doch nur mal wieder, dass nix richtig sicher ist!
    Ich sage nur Sony…

    @ CHRISTIAN: also, zu erklären, das google da zu unrecht ein schlechtes Ansehen hat ist ja ziemlich blauäugig.
    1. Was meinst Du, was google alles über dein Surfverhalten speichert, wenn Du die Suchmaschine benutzt?
    2.Wie bekomme ich denn meine Daten auf mein neues Android-Smartphone? …über Synchronisation mit einem google-Konto!
    Wenn ich jetzt ein Handy mit einer ordentlichen Navigation habe, macht es natürlich Sinn, meine Kontakte mit Adressen zu versehen, dann kann ich ganz bequem zu meinen Kontakten hinnavigieren. Sehr praktisch.
    Für google auch: ich muss nämlich zum nutzen einiger Funktionen das Smartphone mit meinem google-Konto synchronisieren, weil ja Programme, Funktionen und Daten ausgelagert werden. Und dabei erhält google DIE DATEN. ganz ohne was zu tun und i.d.Regel auch aktuelle Datensätze. Praktisch, oder?
    3. Anderes Beispiel:
    Google-Betriebssystem OS (für Net-/Notebooks): alles läuft über Onlinedienste.
    Vorteil für den Benutzer:
    - Der Computer braucht weniger Leistung
    - Daten sind auch bei kaputtem HDD nicht verloren, weil ja auf nem Server abgelegt.
    Nachteile:
    - alles, aber auch wirklich alles gibst Du damit in googles Hände
    - du hoffst also, dass google mit Deinen Daten vertrauenswürdig umgeht. Kannst du dessen wirklich sicher sein?
    - du brauchst immer eine Internet-Verbindung, kostet also u.U. Geld (unterwegs surfen) und
    - du bist damit nachverfolgbar (wie mit deinem Smartphone ja auch – siehe Apple)
    4. Wenn das Problem (wahrscheinlich) schon länger bekannt ist, warum gibts dann kein Update?

    So, und jetzt sag mir noch mal, das google zu Unrecht in der Kritik steht!?!

    Und wo ich grad dabei bin: stellt mal in eurem Browser und AdobeFlashPlayer das speicher von Cookies aus, dann kriegt Ihr auch weniger personalisierte Werbung ;-) .

    Ach und Amazon ist auch so ein Verein, der fleißig Daten sammelt.

    Hab übrigens selbst so n Android 2.1 Smartphone, weil ich Apple auf Grund der eingeschränkten Nutzerrechte echt kacke finde und die sich am Zubehör echt tot und dämlich verdienen.

    Schönen Tag noch, Esteven

  5. Zeittgeist

    @Esteven
    Google steht zu Unrecht in der Kritki.

Hinterlasse einen Kommentar!