Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
2 Min Lesezeit 30 Kommentare

Neues Android Sicherheitsleck entdeckt, Google arbeitet daran - UPDATE: Google stellt "Fix" zur Verfügung

Ist Dir eine Schnellladefunktion wichtig oder egal?

Wähle Schnellladen oder egal.

VS
  • 12354
    Stimmen
    Ooops! Etwas ist schiefgelaufen. Aktualisieren sollte helfen.
    Schnellladen
  • 6671
    Stimmen
    Ooops! Etwas ist schiefgelaufen. Aktualisieren sollte helfen.
    egal

Seit gestern macht eine neue Meldung bezüglich einer Schwachstelle innerhalb Android die Runde. So soll es in einem unverschlüsselten WLAN Netzwerk potentiellen Angreifern möglich sein, auf Identifizierungsschlüssel von den Google-Kontakten, dem Kalender und Picasa eines Android Smartphones zugreifen zu können. Ulmer Forscher hatten auf dieses Sicherheitsleck aufmerksam gemacht, laut Computerwoche.de hat sich Google der dpa gegenüber folgendermaßen geäußert:

"Wir sind uns des Problems bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen"

Die Meldung bezüglich dieses Sicherheitslecks klingt vielleicht auf den ersten Blick erschreckend, allerdings dürfte es (auf den zweiten Blick) prinzipiell nicht besonders sicher sein, sich in der Öffentlichkeit in ein nicht geschützes WLAN einzuloggen. Trotzdem lassen solche Schwachstellen Google und Android in keinem allzu guten Licht stehen. Was Android und Sicherheit angeht, gibt es wohl für Google noch einiges zu tun.

UPDATE:

Wie schwerwiegend die Sicherheitslücke auch ist, Google hat auf jeden Fall schnell reagiert und liefert einen "Fix":

“Today we’re starting to roll out a fix which addresses a potential security flaw that could, under certain circumstances, allow a third party access to data available in calendar and contacts. This fix requires no action from users and will roll out globally over the next few days.” 

Quelle: Mobilecrunch
 

Quelle: Computerwoche

30 Kommentare

Neuen Kommentar schreiben:
  • Habe jetzt das ihr gelesen
    http://www.zeit.de/digital/datenschutz/2011-05/google-android-wlan
    bin mal gespannt ob man da etwas mitbekommt von...

  •   7

    Jain ;)

    Also Mail läuft bei mir verschlüsselt ab, weil ich die Möglichkeit in der Mail-App habe, Verschlüsselungsmethoden auszuwählen, das Gleiche gilt auch für FTP, wo man in der Regel SFTP nutzen kann. Was ich mindestens erwarte ist zumindest die Möglichkeit, die Kommunikation abzusichern und Apps die solche Sicherheitsmechanismen gar nicht erst anbieten, sollte man tunlichst meiden.
    Da Google die Auswahl solcher Mechanisnem in seinen Apps aber erst nicht anbietet, möchte man zumindest davon ausgehen können, das eine Grundsicherung implementiert ist. Das hat nichts mit "auf Google einschlagen" zu tun, sondern mit einem Versäumnis gegenüber seinen Kunden. Die Technologie ist da und wird z.B. bei den Web- und Maildiensten seitens Google auch angeboten.
    Es wäre bestimmt nicht viel Mehraufwand gewesen, das gleich den Apps mit auf den Weg zu geben. Mal ganz abgesehen davon, das es Google eine Menge Schmach und Spott erspart hätte ;)

  • Nun bevor man hier aif Google einschlägt sollte sich jeder bewusst sein das Mails, Ftp, http (ausser https) auch unverschlüsselt übertragen werden, wer sich also mit seinem Netbook in ein fremdes wlan verbindet sendet so einiges im Klartext übers lan, dass ist kein alleiniges Androidproblem!

  •   7

    Nochmal, auch wenn es schon mehrfach geschrieben und auch offensichtlich mehrfach überlesen wurde:
    Das Problem lässt sich nicht auf WLANs reduzieren, die Token werden auf der gesamten Strecke vom Device zum Server unverschlüsselt übertragen. Dabei spielt es nicht die geringste Rolle, wo oder worüber man sich einloggt und ob jeder wissen sollte, das man "offene WLANSs" tunlichst meiden sollte. Diese erleichtern innerhalb ihrer Reichweite nur das "Mitlesen", aber theoretisch können die Daten auf jedem Netzwerknoten der gesamten Netzwerkstrecke mitgeschnitten werden.
    Das ist tatsächlich ein handfestes Sicherheitsproblem und kann nicht einfach kleingeredet werden. Google tut gut daran, diese Lücken mit Hochdruck zu schliessen.
    Ich denke auch nicht, das dies Sache der Provider ist, ich glaube eher, daß das Problem in den von Google mitgelieferten Apps zu fixen ist und die sind providerunabhängig über den Market updatebar.

  • Ooffene W-Lans sollte man einfach meiden, gerade die, die sich leicht zu EvilTwin-Wlans umbauen lassen. Ich versuche das generell und nutze W-Lan nur da, wo ich dem AccessPoint vertraue.

    Googles Möglichkeiten aus meiner Sicht: nur die Komponente austauschen, die das Token vergibt (dank modularer Linux-Bauweise sollte das möglich sein), unterbinden, dass das Token von anderen Geräten genutzt wird (das halte ich für die eigentliche Lücke) oder die Lease-Time für die Tokens runtersetzen.

    Wir werden sehen wie der Fix aussieht. Und mit dem Nexus-S habe ich gut reden... :)

  •   15

    Zu der ganzen Diskussion ist doch eigentlich nur zu sagen, dass 1. die Uni, von der die entdeckenden Wissenschaftler stammen, zu viel Geld haben Muß, wenn sich Wissenschaftler damit beschäftigten können,

    2. die ganze Thematik um unsichere, offene WLAN-Netzwerke ziemlich müssig, seil bekannt ist und

    3. als Antwort auf eine weiter oben gestellte Frage: mein Kalender und die Mails synchronisieren nur manuell und nicht automatisch, es gibt also User die Autosync nicht verwenden. Und mein WLAN ist immer aus, außer ich bin zu Hause.

  • Ich finde dass dies kar keine Sicherheitlücke ist. Wenn man sich in ein Wlan netzt einloggt, dass abgehört wird werden natürlich auch alle Daten die im Browser eingegeben werden mitgespeichert. (Wenn die Verbindung nicht über https läuft: ist auf 99% der Websites der Fall)

    Auch bei sicheren Wlan Verbindungen besteht die Gefahr, dass alle Daten mitgeloggt werden.
    Genau das gleiche Problem bei einem Internetcafé. Man muss darauf vertrauen dass die Daten nicht mitgeloggt werden.

    Trotzdem eine schlechte Entscheidung von Google anfangs eine nicht verschlüsselte Verbindung zu verwenden.

  • Natürlich sollte man das Problem nicht dramatisieren. Aber hier lese ich auch einige Kommentare, die das Problem offenbar kleinreden und bagatellisieren wollen. Das finde ich blödsinn:

    - "Sicherheitslücken gibt es überall, man muss nur suchen" ist nun wirklich überhaupt kein Argument und daher auch kein wirklich ernstzunehmender Beitrag. Außerdem ist das Problem eben nicht nur die Sicherheitslücke, sondern auch, dass diese Lücke nicht wirksam geschlossen wird.

    - "Offene WLAN-Netze sind generell unsicher" - stimmt zwar, macht die Sache ja aber nicht besser. Denn immerhin kann ich in jedem offenen WLAN sicher im Netz agieren, wenn eben die Übertragung verschlüsselt ist. Und hier liegt doch das Problem. Als Nutzer der Google-Produkte gehe ich normalerweise davon aus, dass Google dafür sorgt, dass die Daten verschlüsselt werden. Die Technik ist vorhanden, warum sollte man auf die Idee kommen, dass Google hier so schlampt? Und das wirklich dumme ist: Man kann die Verschlüsselung auch nicht einschalten. Man kann einfach nur sagen: Nutzt keine WLANs, wenn es nicht Eure sind. Und das ist einfach peinlich für ein aktuelles Smartphone.

    - "Google hat die Lücke bereits geschlossen, der Rest ist Sache der Gerätehersteller/Provider" - dieses Argument kann ich auch nicht gelten lassen. Google hat diese kritische Sicherheitslücke nur in der Version 2.3.4 gelöst. Es gibt aber unzählige von aktuellen Android-Phones, die allein scon aufgrund der Hardware niemals auf 2.3.x geupdated werden können. So lange Google also keine Sicherheitsfixes für 1.x oder 2.x-Versionen veröffentlicht, können die Gerätehersteller gar nichts machen. (ob sie es denn tun würden, wenn es Sicherheitsupdates von Google geben würde, steht auf einem anderen Blatt).

    Alles in allem muss man einfach festhalten, dass Google hier einen großen Bockmist gebaut hat und nicht dafür Sorge tragen will, dass die Mehrheit der User sichere Updates bekommen. Dass Google deswegen - wenn auch in teilweise primitiver Form - von den Massenmedien abgewatscht wird, empfinde ich schon ein bisschen als "gerechte Strafe" und führt bestenfalls dazu, dass sich Google in Zukunft etwas mehr Müge gibt.

  • Laut ntv hat auch ios das problem. Android ist halt in den Medien weil es dort zu erst aufgefallen ist

  • was heißt in kein all zu gutes licht? anroid und Windows wurden bei dem hack kontest nicht gehackt im gegensatz zum eierphone! und sicherheits Lücken gibt es immer! man muss nur danach suchen. mfg

  • Hallo.

    Manchmal Frage ich mich wieso manche Themen eigentlich nie Aussterben.....

    Es kommen immer wieder, in leicht abgewandelter Form, die gleichen Themen.

    Die absolute Sicherheit gibt es nicht! da sollten sich alle einig sein.
    Jeder sollte sich über sein verhalten im Netz jederzeit bewusst sein was erst macht.

    Natürlich sind offene Netze unsicher, wenn ihr zugreift schaltet alles unnützes Zeug ab.
    Dieses Thema sollte eigentlich eher als Info dienen, und wohl nicht als grundsatzdiskusion - falls doch kommt bestimmt im 125 Eintrag noch eine Frage ob jetzt jemand in einem offenen Netz seine Pin beim Online-Banking eingeben darf.....

    Sorry..... Nicht falsch verstehen.....

  • Das Problem tritt aber nicht nur im offenen WLAN auf. Das Token wird generell unverschlüsselt übermittelt. Auch im heimischen WLAN, Firmen- und Uni-Netzwerken.

  • @Benjamin Rüde: Das war keine Kritik an den Benutzer des Geräts, sondern an den Hersteller bzw im Speziellen den Entwicklern der Software... Der User kann da gar nix machen...

  • Die alten Versionen werden dieses Sicherheits-Update nicht erhalten. Ab Version 3.3.4 wird die Verschlüsselung dann Standard sein. Pic. wird allerdings weiterhin unverschlüsselt sein.
    Allerdings muss man sagen, dass es ähnliche Sicherheitslücken auch auf dem Laptop gibt. Also weithin ist vorsicht geboten, aber kein grund zur Panik...

  • @ Simon

    wenn das updaten über die einzelnen app möglich wäre, dann hätte Google das sicherlich bereits getan. offensichtlich ist sich Google des Fehlers auch bewusst, andernfalls Sie den Bug kaum in der neuesten androidversion bereits gefixt hätten. problematisch wird die Sache, wenn jemand diese authentifizierungstokens abreift und dann über den gultigkeitszeitraum (max. 2 Wochen) Zugriff auf Google Kalender und contacts hat. Bilder auf Picasa sind m.E. wahrscheinlich nicht so interessant andernfalls sich der user wohl selbst an der nase nehmen muss...;)

  • Es gibt unter den offenen Wlans sowieso gemeine Fallen. Einige bieten kein, oder eine langsamere Verbindung als 3g, andere sind nur scheinbar offen und benötigen einen Login im Browser. Deshalb und wegen des Akkus, ist mein Wlan normalerweise nur zuhause oder bei Freunden eingeschaltet. Ich frage mich einfach, wieso Google die betroffenen Apps nicht einfach über den Market updatet. Bei Google-Maps ging das ja problemlos.

  • ja finds auch etwas übertrieben. Probleme gibts immer, aber etwas schlimmer schreibt t online darüber :D

    http://mobil.t-online.de/mobil/;s=9vwalsw3jPL_uytBnybHvg02/deeplink/24856742

  • So ein Blödsinn ist zwar ein Problem mit dem unverschlüsseltes Netz, aber ich bin in keinem unverschlüseltem Netz.

  • Naja kann man auch ganzschön hochbauschen, das ganze.

  • In den Einstellungen entsprechendes Häkchen setzen und nicht automatisch in alle offenen WLANs einklinken. Das ist doch eine müßige Diskussion.

Zeige alle Kommentare

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!