Handelsblatt

MenüZurück
Wird geladen.

18.05.2011

11:47 Uhr

Google-Smartphones

Gefahr aus dem Netz für Android-Nutzer

VonStephan Dörner

In fast allen Android-Smartphones klafft eine große Sicherheitslücke, wie deutsche Informatiker herausfanden. Das Grundproblem betrifft sogar sämtliche Smartphone-Nutzer. Doch es gibt einen einfachen Schutz.

Die auf Android-Smartphones genutzten Google-Dienste sind verwundbar - doch unverschlüsselte WLANs sollten Nutzer ohnehin meiden. Quelle: dpa

Die auf Android-Smartphones genutzten Google-Dienste sind verwundbar - doch unverschlüsselte WLANs sollten Nutzer ohnehin meiden.

DüsseldorfInformatiker der Universität Ulm haben eine klaffende Lücke in Googles Android-Apps für Kalender, Fotos und E-Mails entdeckt. In älteren, aber noch sehr häufig genutzten Versionen der Apps kommunizieren diese unverschlüsselt im Internet. Das erlaubt bei unverschlüsselten WLAN-Netzwerken möglichen Angreifern nicht nur, die Kommunikation mitzuschneiden, sondern auch einen zwei Wochen gültigen Authentifizierungsschlüssel abzugreifen. Damit ist es über eine für Programmierer gedachte Schnittestelle möglich, sich als der Nutzer des Accounts auszugeben und auf sämtliche Daten der Dienste wie E-Mails, Kontakte und im Web gespeicherte Fotos zuzugreifen, wie die Experten der Uni Ulm auf ihrer Website ausführen.

Die Lücke klafft bei den noch sehr weit verbreiteten Versionen bis 2.3.3. Bei der aktuellen Version 2.3.4 betrifft das nur noch die Foto-App Picasa – doch noch die wenigsten Hersteller haben diese Version für ihre Geräte bisher eingespielt. Laut einer Android-Entwicklerwebsite von Anfang Mai lief auf fast zwei Dritteln der Geräte noch Android 2.2 und auf einem Viertel noch 2.1, die Vorgänger-Version.

„Wir sind uns des Themas bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen“, sagte Google-Sprecher Kay Oberbeck der dpa am Mittwoch auf Anfrage.

Gefahr: unverschlüsseltes WLAN

Allerdings lässt sich das Sicherheitsleck nur im Zusammenhang mit einer unverschlüsselten WLAN-Verbindung nutzen, vor denen Sicherheitsexperten ohnehin beständig warnen. So weisen Experten beispielsweise darauf hin, dass zahlreiche Apps auf allen Geräten unverschlüsselt mit der Gegenseite im Internet kommunizieren – und zwar sowohl unter Android als auch unter iPhone-Geräten. Auch die Kommunikation mit Websites und der Inhalt von E-Mails können alle Teilnehmer eines solches Netzwerks mühelos mitlesen, wenn diese nicht verschlüsselt stattfindet.

Bei Apps ist es leider vom Nutzer nicht ohne weiteres zu erkennen, ob sie verschlüsselt mit dem Netz kommunizieren. Bei Websites kann allerdings anhand der Webadresse erkannt werden, ob die Kommunikation verschlüsselt abläuft. Dann sind die übertragenen Daten selbst in einem unsicheren und offenen Netzwerk nicht auslesbar: Steht am Anfang der Adresse „https://“ statt „http://“, werden die Daten sicher übertragen. Jede Online-Banking-Seite nutzt das, auch beispielsweise Google Mail – nicht aber Google Calendar.

Bei Facebook läuft die Kommunikation standardmäßig nicht komplett verschlüsselt ab. In den Account-Einstellungen kann unter dem Punkt „Kontosicherheit“ aber die Option „Sicheres Durchstöbern (https)“ aktiviert werden, was in jedem Fall empfehlenswert ist. Auf die Facebook-App von Android hat das allerdings keine Auswirkungen, wie der IT-Sicherheitsexperte Dan Wallach in seinem Blog schreibt. Sie kommuniziert weiterhin unverschlüsselt mit Facebook, wodurch Angreifer in einem unverschlüsselten Netzwerk ohne Mühe beispielsweise private Nachrichten mitlesen können.

Daher sollte bei Verbindungen mit offenen Funknetzwerken immer auf eine vorhandene Verschlüsselung mittels WPA geachtet werden. Das erkennt der Nutzer daran, dass beim Verbinden mit dem Netzwerk ein Passwort angefordert wird, symbolhaft wird das außerdem häufig durch ein Schloss oder ähnliches in der Liste der vorhandenen WLAN-Netze dargestellt.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×