Verdacht: Google speichert WLAN-Passwörter im Klartext

  • Google hat Zugriff auf WLAN-Passwörter und andere Informationen - im Klartext.
    foto: linusb4 / sxc.hu/photo/883988

    Google hat Zugriff auf WLAN-Passwörter und andere Informationen - im Klartext.

Android-Feature birgt Potenzial für schwerwiegende Konsequenzen

Auf ein Privacy-Problem ist Micah Lee, Mitarbeiter der Bürgerrechtsorganisation Electronic Frontier Foundation, beim mobilen Betriebssystem Android gestoßen. Er hat herausgefunden, dass es Google grundsätzlich möglich ist, bei einem Backup hinterlegte WLAN-Passwörter im Klartext zu sehen und geht davon aus, dass diese bereits unverschlüsselt hinterlegt werden.

Dies betrifft die integrierte Backup-Funktion, mit der sich neben den Kennwörtern auch noch eine Liste der zuletzt installierten Apps, Einstellungen und andere Informationen bei Google speichern lassen, um auf einem neuen Gerät schnell abrufbar zu sein.

Große Gefahr bei unverschlüsselter Übertragung

Dass Google Zugriff auf den Klartext hat, ergibt sich laut Lee daraus, dass ein neues Gerät die Daten nach Login in den eigenen Google-Account ohne weiteres Zutun oder die Eingabe eines weiteren Passworts einpflegen kann. Nicht eindeutig geklärt ist, ob die Daten bereits "plain" hinterlegt werden, oder Google sie einfach nur selbst entschlüsseln kann.

Werden die Passwörter bereits unverschlüsselt übertragen, könnten sie relativ leicht aus dem Datenstrom eines Nutzers während des Backups oder der Wiederherstellung ausgelesen werden. Zudem lägen die WLAN-Kennphrasen bei einem etwaigen Sicherheitsleck bei Google offen und ließen sich relativ mühelos den jeweiligen Netzwerken zuordnen – was verheerende Folgen haben könnte.

Jedoch ist auch bei verschlüsselter Übertragung Vertrauen in den Anbieter der Verschlüsselung notwendig, der in diesem Falle ebenfalls Google wäre, wie ein Kommentator beim Bugreport anmerkt. Nicht neu ist, dass bei der erfolgreichen Kompromittierung eines Google-Accounts mit aktiviertem Backup der Eindringling unmittelbar Zugang zu den WLANs bekommt, für welche Passwörter vorliegen.

Bedrohung für Firmennetzwerke

Heise verweist auf die Gefahr, die dies insbesondere für Firmen bergen kann. Unternehmen verwenden häufig eine Single-Sign-on-Lösung, bei welcher das WLAN-Passwort oft auch bei anderen Diensten – etwa als E-Mail-Loginkennung – zum Einsatz kommt.

Lee schlägt vor, synchronisierte Passwörter zumindest mit dem eigenen Google-Login absichern zu können oder gleich alle Daten mit einem neu gewählten Passwort zu verschlüsseln. Dies sei insbesondere deswegen wichtig, weil die "Meine Daten sichern"-Funktion oft standardmäßig aktiviert ist.

Googles große WLAN-Datenbank

Der Bürgerrechtler vermutet, dass Google aufgrund der hohen Popularität von Android mittlerweile über Klartext-Passwörter für den Großteil der verschlüsselten WLANs weltweit besitzt. Googles Chrome-Browser bietet ebenfalls die Möglichkeit einer Passwortsicherung, diese wird aber mit einem selbst festgelegten Passwort verschlüsselt.

"Android zu nutzen setzt einen gewissen Grad von Vertrauen gegenüber Google aus", meint der EFF-Mitarbeiter. "Ich glaube nicht, es ist logisch, von den Nutzern zu erwarten, Google ihre Passwörter im Klartext anzuvertrauen, wenn Google von der Regierung gezwungen werden kann, sie herauszugeben."

Update: Google-Statement

Google widerspricht dem Bugreport von Micah Lee. Man betont, dass es sich beim Backup-Feature um eine optionale Funktion handelt. Deaktiviert man sie, werden auch die "damit verbundenen Daten vom Server gelöscht". Bei der Übertragung sind die Informationen laut Google SSL-verschlüsselt und sind nur via authentifizierter Verbindung des Users zu Google zugänglich. Die Google-Datenzentren seien "stark gegen digitale und physische Angriffe geschützt". (red, derStandard.at, 18.07.2013)

Share if you care
Posting 1 bis 25 von 111
1 2 3

"Die Google-Datenzentren seien "stark gegen digitale und physische Angriffe geschützt""

Wozu angreifen ... jeder, der die Daten haben will bekommt sie eh freiwillig.

no

ja wie alle andern halt auch ;-)

Tell news

Das hier beschriebene Problem, dass Google sämtliche WLAN Passwörter im Klartext speichert, ist schon seit langem bekannt. Zumindest jeder der 2 oder mehr Android/Nexus Devices besitzt, müsste es kennen...

Ich versuche dem vorzubeugen, indem ich für jeden Login ein anderes Kennwort verwende und zumindest alle acht Wochen ändere. Ausserdem deaktiviere ich alle Dienste, die ein Sicherheitsrisiko darstellen können und nicht ständig gebraucht werden. Weiter verzichte ich soweit möglich auf Cloud-Speicher, verwende VPN-Tunnel und benutze Google wenn es geht nur indirekt über startpage.com

> indem ich für jeden Login ein anderes Kennwort verwende und zumindest alle acht
> Wochen ändere

ich wünscht, ich würd' das auch so konsequent umsetzen, wie Du - vorgenommen hab' ich mir das schon öfters, aber dann bräucht' ich eine seitenlange Papierliste, um mir die Paßwörter zu "merken", wenn ich sie so oft ändere ...

Dazu muss man allerdings sagen, dass Android das einzige der kommerziellen Systeme ist, wo man sowas auch abdrehen kann...

Trotzdem warte ich mit UNGEDULD auf die völlig offenen Alternativen - zaht's an, Jolla, Firefox und Ubuntu!

leider schaut des jolla phone in meinen augen wie ein kleiner unfall mit blechschaden aus....

wen interessiert das aussehen ???
nur dumme

Wurscht - ich will das OS, nicht das Gerät!

“Ich glaube nicht, es ist logisch, von den Nutzern zu erwarten, Google ihre Passwörter im Klartext anzuvertrauen, wenn Google von der Regierung gezwungen werden kann, sie herauszugeben."

Ich glaube ich verstehe den ersten Teil des Satzes nicht.

Bequemlichkeit hat eben seinen Preis,

speziell im Fall der Google-Backup-Funktion.
Ich würde auch keinem anderen ähnlichen Service trauen und sichere meine heiklen Inhalte "zu Fuß", manchmal vielleicht ein wenig mühsam, aber vergleichsweise sicher.

“ihren Preis“ - DIE.Bequemlichkeit ;o)

Google-Alternative

Ich weiss, das ist ein wenig Off-Topic, aber: Gibt es mittlerweile eine Alternative zur Google-Suchmaschine?

Ich würde sofort und für immer Google adieu sagen ...

Also: Kennt wer eine ernsthafte Google-Alternative?

ixquick.com
duckduckgo.com

Ersteres ist zu bevorzugen, da der Betreiber in Europa sitzt nicht in den USA.

startpage.com verwendet die Google-Datenbank, allerdings anonymisiert.

Bing...

...ist nicht so schlecht, nur bei News ist Google besser, da man bei Bing auf News klicken sollte, um wirklich die aktuellsten Seiten zu finden.

Und da Bing von Microsoft ist, hat man doch keinen Vorteil...

Hab ich auch probiert. Da merkt man erst, wie sehr die Suchergebnisse personalisiert sind (und daher auch besser). Hab dort nach "Aua" gesucht, um einen Flug zu buchen... die AUA war glaub ich auf Seite 2 oder 3...

M.a.W.: die Suche bei duckduckgo ist ziemlich mühsam...

Kann ich verstehen

ich mache es so, dass ich DuckDuckGo als Standard-Suchmaschine verwende und wenn ich was genaueres suche, dann verwende ich notfalls auch Google.
Kann ich so empfehlen.

Sie sollte NICHT VERGESSEN, dass die Browser ja bei jeder Eingabe im Adressfeld sofort anfangen, Anfragen an die Standard-Suchmaschine zu senden!

> dass die Browser ja bei jeder Eingabe im Adressfeld sofort anfangen, Anfragen an die
> Standard-Suchmaschine zu senden!

das kann man (bei google zumindest) leicht deaktivieren

versuch's mal mit

buchung !austrian als Suchworte in duckduckgo

Erläuterung dazu bei https://duckduckgo.com/bang.html

Kaum zu glauben das ich das als Mac user jemals sagen würde, aber Microsoft wird mir jetzt immer sympatischer.

Sie meinen das Microsoft, was der NSA den Direktzugriff garantiert?

Posting 1 bis 25 von 111
1 2 3

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.