"Datenklau aus der Hosentasche"

Das ist natürlich ein blöder Fehler, aber generell muss man sagen, dass man bei einem öffentlichem WLAN Netz immer vorsichtig sein muss. Viele Dienste verschlüsseln gar nicht (auch bei AndroidPit wird ab und zu die Übergabe des Passworts nicht verschlüsselt), dann hat der Angreifer nicht nur das Token (was nach einer Zeit verfällt), sondern auch das Passwort.

— geändert am 16.05.2011, 22:00:43

Dumm für uns ist natürlich auch, dass die Updatepolitik einiger Hersteller und Provider (bei mir Motorola und t-Mobile), eher bescheiden ist. Ich erhoffe für mein DEFY auch ein baldiges Update auf 2.2, aber "Betroffen sind fast alle Android-Nutzer - laut den Forschern hat Google die Sicherheitslücke zwar in der Betriebssystem-Version 2.3.4. geschlossen, aber nur für Kalender und Kontakte." quelle: Spiegel.de. Also hinkt Motorola beim Defy kräftig hinterher.

Da bin ich doch froh, dass das N1 schon 2.3.4 bekommen hat...
Wer nutzt schon Picasa...somit SAFE! SORRY - musste sein.

Wirklich safe?

Du nutzt keine fremden WLANs? Auch nicht bei Freunden, am Bahnhof, Flughafen oder den Amerikanischen Bulettenbratern?

Und wenn doch, kannst Du denen 100% vertrauen? Da gibt es niemanden, der auch mal auf dumme Gedanken kommt?

Ich habe es schon mehrfach gesagt: Smartphones bergen Risiken, derer die große Nutzerschar sich noch gar nicht bewußt ist oder die selbst für Profis nicht offensichtlich sind.

Vor allem sind nicht nur meine Daten in Gefahr sondern auch die von Unbeteiligten. Ich bin gespannt, wann der erste Smartphone-Nutzer wegen Verstoßes gegen den Datenschutz verklagt wird.

— geändert am 18.05.2011, 02:39:00

Hallo ihr alle

Meiner Meinung ist es egal, wie man ins Internet geht oder aber sein Smartphone syncronisiert !

Fakt ist das es im Android-Betriebssystem Sicherheitslücken gibt die man stoppen/beheben muss.

Jetzt bin ich ja mal gespannt wie Google das beheben will , und zwar für alle Android-Versionen.
Bei jedem Betriebssystem der Welt (Windows, Linux, MAC) gibt es Sicherheitsupdates und das muss mit Android auch passieren.

Diese Sicherheitsupdates für Android (sofern vorhanden) sollten schnell aktualisiert werden, aber nicht über Provider sondern direkt von Google.

Meiner Meinung kann es nicht sein das hier von Google so nachlässig programmiert wurde und sicherheitsrelevante Daten unverschlüsselt übermittelt werden, bzw. die Token so lange gültig sind.

Nun gut für mich kommen offene Netzwerke nicht in Frage (Honigtopf) aber allein der Fakt das es Datenklau geben könnte, gibt mir zu denken.

D_C

Bezüglich Updates bekommst Du ein Full-ACK von mir.

Allerdings sind auch die App-Entwickler in der Pflicht.

Und die Anwender, die alles mit ihren auch nicht sicheren Social-Networks syncen wollen. Offenheit bedeutet auch mehr Risiko!

Danke


In diesem Fall "Google"


Korrekt

Das Problem mit dem auth-Token sollte eigentlich über "https" machbar sein.
Da Google ja die Möglichkeiten hat als root auf die Androidgeräte zuzugreifen sollte ein Sicherheitsupdate bestimmt kein Problem sein.
Ich kann mir allerdings nicht vorstellen das es Google versäumt hat die Sync-Funktion zu verschlüsseln. Aber auch ich kann mich irren


Hier nochmals der Link zum Zitat : klick

Wenn man bedenkt wie viele E-Mail Clients (ob am Notebook, Tablet oder Smartphone) per Default unverschlüsselt arbeiten dann wird diese Sicherheitslücke wirklich lächerlich. Google muss man normal zu gute halten, dass sonst sehr konsequent mit verschlüsselten Verbindungen arbeitet. Und auch wenn man das nicht glauben kann, das ist eine Seltenheit. Hier ist nun Google ein Fehler passiert.
Dennoch denke ich, ist die Sicherheitslücke überschaubar. Es ist "nur" ein Token, die Sicherheitslücke gilt "nur" für offene WLANs (die man eh nur mit großer Vorsicht verwenden sollte) und die Möglichkeiten des Angreifers sind begrenzt.

Kritischer sehe ich es, dass Apps wie Facebook lange gebraucht haben eine sichere Anmeldung umzusetzen, viele andere haben es biis heute noch nicht.

Die Meldungen alla "deutsche Wissenschaftler haben entdeckt" kommt mir auch sehr komisch vor. Die Sicherheitslücke wurde in 2.3.4 behoben, das heißt also, die Sicherheitslücke war schon länger bekannt.

Allerdings verstehe ich nicht so ganz, wie die Sicherheitslücke funktioniert. Benützt Google nicht Oauth? So wie ich Oauth2 verstanden habe gibt es 2 Möglichkeiten sich anzumelden, einmal über Signaturen und einmal über eine verschlüsselte Verbindung. In beiden Fallen wäre es doch egal, wenn der Angreifer mit ließt, oder? Also hat Google wirklich Oauth falsch umgesetzt oder wird hier wieder etwas sehr groß aufgeblasen?

Na diesmal war Google aber sehr schnell, laut Pressemitteilung wird schon in den nächsten Tagen ein Fix an alle Android-Nutzer "geschickt". Nutzer müssen natürlich nichts machen.
Quelle

Was ich jetzt aber beim besten Willen und bei aller Liebe überhaupt nicht verstehe, ist, warum das nicht schon lange passiert ist. Da das Problem ja in 2.3.4 schon behoben wurde, bevor es überhaupt bekannt geworden ist, ist es ja offensichtlich, dass Google davon wusste. Und wie es scheint, ist es nicht wirklich schwierig das Problem für wirklich alle zu beheben. Also warum nicht schon früher?

— geändert am 19.05.2011, 02:38:54

Verstehe ich nicht. Wieso sollte der User wegen Verstoß gegen Datenschutz verklagt werden ? Welcher Verstoß ?

wenn du ein bisschen rumsuchst, wirst du bemerken, dass es schon letzten Sommer (z.B. Juni) Forendiskussionen gab, warum Android die Synchronisation nicht verschlüsselt. Es ist also schon sehr lange bekannt. Ich verstehe aber auch nicht, warum google da erst nachbessert, wenn die Medien sich draufgestürzt haben. Immerhin jedoch haben sie sofort reagiert und nicht 1-2 Wochen gewartet wie Apple und Sony letztens.

Oh ok, das ist mir neu, hatte noch nicht viel herumgesucht. Das macht das ganze natürlich noch komischer irgendwie.

Das finde ich ja schon mal besser dass überhaupt gleich reagiert wird, manche sieht man eh tun das halt erst ein bissi spät, und sind dann verwundert warum manche leicht angesäuert sind...

Wenn Du Dein Adressbuch mit Facebook syncst, wird es komplett auf Facebook übertragen. Dadurch erhält Facebook unter Umständen Daten von Mitgliedern, die die Mitglieder selbst nicht eingetragen haben. Über die AGB nimmt sich Facebook sehr viel Freiheiten heraus, die nicht unbedingt mit dem deutschen Datenschutz vereinbar sind.

Zudem erhält Facebook Daten von NIcht-Mitgliedern. Und das alles ohne deren Wissen.

Also müsste man auf den Sync mit Facebook verzichten. Macht man das nicht, schafft man Angriffsfläche.

Ein weitere Möglichkeit bieten die Geo-Services. Du kannst Dein Handy verleihen - ohne SIM! Wenn Du es zurückbekommst und der Leiher das Telefon nicht auf Werkseinstellungen zurückgesetzt hat, kannst Du in Schwierigkeiten kommen.

Ich behaupte nicht, dass Gerichte so oder anders urteilen werden. Ich vermute sogar recht unterschiedliche Urteile bei scheinbar vergleichbaren Fällen. Wäre ja nicht das erste mal! Aber ich bin mir nahezu 100% sicher, dass diesbezüglich noch so einige Streitigkeiten auf uns zukommen.

Stimmt schon! Aber einen Fehler durch andere, angeblich oder tatsäschlich schlimmere zu relativieren, ist für mich ein No-Go!


Gut, dass Du das "nur" in Anführungsstrichen schreibst!


Falsch! Es gilt auch für verschlüsselte WLANs in denen jeder Client den gleichen Schlüssel verwendet.



ACK!