Google beseitigt Sicherheitslücke bei Android rasch - für alle

Andreas Proschofsky
19. Mai 2011, 09:37
  • Mit einer serverseitigen Änderung repariert Google die viel diskutierte Privacy-Lücke bei Android. Den Roboter an sich freut das.
    grafik: archiv

    Mit einer serverseitigen Änderung repariert Google die viel diskutierte Privacy-Lücke bei Android. Den Roboter an sich freut das.

Sessions konnten theoretisch abgefangen werden - Serverseitige Änderung erspart Android-Update

Für einige Aufregung sorgt aktuell eine Untersuchung von Forschern der Universität Ulm, die zeigt, dass sich bei einigen Google-Services für Android unter Umständen sensible Informationen abfangen ließen. Das Problem: Bei Google Calendar, Contacts und auch bei Picasa wird das sogenannten "AuthToken" unverschlüsselt übertragen. Schafft es nun jemand die Netzverbindung mitzulesen - etwa in einem offenen WLAN - kann er diesen Bestandteil zur Authentifizierung theoretisch abfangen und sich in Folge eine Zeit lang als eine andere Person ausgeben.

Erläuterung

Dies solange, bis ein neues "AuthToken" nötig wird wird, Google scheint im konkreten Fall eine recht lange "Refresh"-Periode von 14 Tagen für gewählt zu haben. Das Auslesen eines Passworts war hingegen nie möglich, dieses wird immer verschlüsselt übertragen und lässt sich nicht so ohne weiteres ändern. Zudem gilt das "AuthToken" immer nur für einen einzelnen Service, wer also diesen Bestandteil bei Picasa aufschnappt, hat noch lange keinen Zugriff auf GMail oder andere Google-Services.

Betroffen

Von der Sicherheitsschwäche sind potentiell fast alle Android-Geräte betroffen, ausgenommen sind lediglich jene mit Android 2.3.4+ (inklusive der Tablet-Version "Honeycomb"),die offenbar bereits eine andere Form der Authentifizierung verwenden. Dies galt zumindest bis vor kurzem, Google reagiert nämlich nun recht rasch auf die öffentliche Kritik. Wie das Unternehmen in einer aktuellen Stellungnahme festhält, hat man eine Änderung an den eigenen Servern vorgenommen, die die Lücke für alle NutzerInnen schließt - unabhängig von der verwendeten Android-Version.

Modifikation

Auch wenn man keine technischen Details liefert, wechselt Google also wohl einfach auf eine andere, sichere Form der Authentifizierung für die mobilen Versionen von Calendar und Contacts. Ein Android-Update - wie manche BeobachterInnen befürchteten - ist hierfür also nicht vonnöten. Eine kleine Einschränkung: Der Fix ist derzeit nur für Google Calendar und Contacts aktiv, beim ebenfalls betroffenen Picasa brütet man hingegen noch über einer Lösung. Warum die Situation hier komplizierter ist, lässt Google ebenfalls offen. Wer ganz sicher gehen will, verzichtet also entweder weiterhin auf die Nutzung von offenen WLAN-Netzen oder deaktiviert in den Einstellungen die automatische Synchronisierung mit Picasa - die ohnehin nicht bei allen Geräten aktiv ist.

Grundlegendes

Die grundlegende Problematik mit unverschlüsselten "AuthTokens" ist schon länger bekannt, und auch keineswegs auf Android beschränkt: Zahlreiche Web- und Desktop-Services hatten schon - oder haben noch - mit solchen Schwierigkeiten zu kämpfen. So hatte vor allem das Tool Firesheep vor einigen Monaten für einige Aufregung gesorgt, das zeigte, wie leicht es ist, Twitter- oder Facebook-Accounts kurzfristig zu übernehmen. Beide Services haben zwischenzeitlich darauf reagiert und ermöglichen nun die Verschlüsselung der gesamten Datenverbindung.

Zusätzliche Sicherheit

Bei zahlreichen anderen Programmen oder Webseiten ist ein ähnlicher Bug bis heute aber weiter vorhanden. Nicht nur deswegen gilt auch schon seit Jahren der Ratschlag nicht ohne zusätzliche Sicherheitsmaßnahmen - wie die Nutzung eines verschlüsselten VPN-Tunnels - in offenen WLANs zu surfen. Immerhin ist es hier oft auch ein leichtes andere sensible Daten wie Inhalte von Mails oder die Liste der besuchten Seiten mitzulesen. (apo, derStandard.at, 19.05.11)

Share if you care
Posting 1 bis 25 von 209
1 2 3 4 5

Android and Hookers!

Finde ich gut von Google, dass sie das so schnell gelöst haben, nachdem die Lücke bekannt geworden ist.

Da könnte sich Facebook ein Beispiel dran nehmen.

Die Scheunentore sind ja nun wirklich groß genug.

http://www.doppelklicker.de/Julian_As... 704.0.html

Das Bild ist der Hammer gibt es das irgendwo auch in einer größeren Version.

Und die Minis gab's/gibt's hier:

http://shop.deadzebra.com/categories/Android

Bei uns grinsen auch schon welche herum :-)

hatte iphone, habe android. Beides super Geräte...

aus.

genau!

auch ich hatte ford, hatte opel. beides super autos...

aus.

Und ich hatte Carmen und anna , beides super Frauen und jetzt ist aus.

Du meinst Betriebssysteme…

hab´s mir nachher eh gedacht, dass ich da jetzt der Verallgemeinerung "android" bisserl schleißig war, aber ich denke, es ist klar was gemeint ist ;)

Du hast auf deinem iOS wohl auch iPhone rennen...

eben, es is voelliger schmarrn was er da schreibt…

iphone - ios / handymarke - android

android != 1 geraet

android = XX verschiedene und qualitativ unterschiedliche geraete

Eigene Kategorie Apple vs. Google bitte einführen

Die hier angeführten Artikel der beiden Konzerne gleichen schon einer SPAM-Anhäufung.

In Soviet Russia Sicherheitslücke beseitigt Google

(wer oder was wann überhaupt wo, nicht?)

3 der top 4 meldungen über google! wo sind die verschwörungstheoretiker, die dem standard immer unterstellen, dass er von apple für artikel bezahlt wird?

Also bitte, hier eine Verschwörungstheorie: Die Standard-Redaktion leidet aufgrund von unentdeckten toxischen Einflüssen (verbreitet von "denen") an schweren Persönlichkeitsspaltungen, sodass in Wellen, mal massiv pro Android und mal massiv pro iOs berichtet/propagiert wird.

Stimmt nicht.

bite my shiny metal ass

Posting 1 bis 25 von 209
1 2 3 4 5

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.