Google beseitigt Sicherheitslücke bei Android rasch - für alle

Sessions konnten theoretisch abgefangen werden - Serverseitige Änderung erspart Android-Update

Für einige Aufregung sorgt aktuell eine Untersuchung von Forschern der Universität Ulm, die zeigt, dass sich bei einigen Google-Services für Android unter Umständen sensible Informationen abfangen ließen. Das Problem: Bei Google Calendar, Contacts und auch bei Picasa wird das sogenannten "AuthToken" unverschlüsselt übertragen. Schafft es nun jemand die Netzverbindung mitzulesen - etwa in einem offenen WLAN - kann er diesen Bestandteil zur Authentifizierung theoretisch abfangen und sich in Folge eine Zeit lang als eine andere Person ausgeben.

Erläuterung

Dies solange, bis ein neues "AuthToken" nötig wird wird, Google scheint im konkreten Fall eine recht lange "Refresh"-Periode von 14 Tagen für gewählt zu haben. Das Auslesen eines Passworts war hingegen nie möglich, dieses wird immer verschlüsselt übertragen und lässt sich nicht so ohne weiteres ändern. Zudem gilt das "AuthToken" immer nur für einen einzelnen Service, wer also diesen Bestandteil bei Picasa aufschnappt, hat noch lange keinen Zugriff auf GMail oder andere Google-Services.

Betroffen

Von der Sicherheitsschwäche sind potentiell fast alle Android-Geräte betroffen, ausgenommen sind lediglich jene mit Android 2.3.4+ (inklusive der Tablet-Version "Honeycomb"),die offenbar bereits eine andere Form der Authentifizierung verwenden. Dies galt zumindest bis vor kurzem, Google reagiert nämlich nun recht rasch auf die öffentliche Kritik. Wie das Unternehmen in einer aktuellen Stellungnahme festhält, hat man eine Änderung an den eigenen Servern vorgenommen, die die Lücke für alle NutzerInnen schließt - unabhängig von der verwendeten Android-Version.

Modifikation

Auch wenn man keine technischen Details liefert, wechselt Google also wohl einfach auf eine andere, sichere Form der Authentifizierung für die mobilen Versionen von Calendar und Contacts. Ein Android-Update - wie manche BeobachterInnen befürchteten - ist hierfür also nicht vonnöten. Eine kleine Einschränkung: Der Fix ist derzeit nur für Google Calendar und Contacts aktiv, beim ebenfalls betroffenen Picasa brütet man hingegen noch über einer Lösung. Warum die Situation hier komplizierter ist, lässt Google ebenfalls offen. Wer ganz sicher gehen will, verzichtet also entweder weiterhin auf die Nutzung von offenen WLAN-Netzen oder deaktiviert in den Einstellungen die automatische Synchronisierung mit Picasa - die ohnehin nicht bei allen Geräten aktiv ist.

Grundlegendes

Die grundlegende Problematik mit unverschlüsselten "AuthTokens" ist schon länger bekannt, und auch keineswegs auf Android beschränkt: Zahlreiche Web- und Desktop-Services hatten schon - oder haben noch - mit solchen Schwierigkeiten zu kämpfen. So hatte vor allem das Tool Firesheep vor einigen Monaten für einige Aufregung gesorgt, das zeigte, wie leicht es ist, Twitter- oder Facebook-Accounts kurzfristig zu übernehmen. Beide Services haben zwischenzeitlich darauf reagiert und ermöglichen nun die Verschlüsselung der gesamten Datenverbindung.

Zusätzliche Sicherheit

Bei zahlreichen anderen Programmen oder Webseiten ist ein ähnlicher Bug bis heute aber weiter vorhanden. Nicht nur deswegen gilt auch schon seit Jahren der Ratschlag nicht ohne zusätzliche Sicherheitsmaßnahmen - wie die Nutzung eines verschlüsselten VPN-Tunnels - in offenen WLANs zu surfen. Immerhin ist es hier oft auch ein leichtes andere sensible Daten wie Inhalte von Mails oder die Liste der besuchten Seiten mitzulesen. (apo, derStandard.at, 19.05.11)