Gravierende Sicherheitslücke in Android entdeckt
Forscher der Universität Ulm haben herausgefunden, dass Android-Smartphones über eine gravierende Sicherheitslücke verfügen. Angreifer können recht einfach auf Kalender, Kontakte und Fotos zugreifen, wenn der Android-Nutzer WLAN eingeschalten hat. Rund 99% aller Android-Smartphones sind von diesem Datenleck betroffen.
Bis Android 2.3.3 betrifft die Sicherheitslücke alle Versionen von Googles mobilem Betriebssystem, für Android 2.3.4 und Android 3.0 gibt es einen Patch – doch noch kaum ein Android-Smartphone hat dieses aktuelle OS. Das Problem ist ein Fehler im ClientLogin-Verfahren. Über dieses Verfahren bekommen Apps die Berechtigung, Informationen abzufragen. Google generiert ein Authentifizierungs-Token, das an die Anwendung geschickt wird – und zwar unverschlüsselt!
Angriffe über unverschlüsselte WLAN-Netze
Passiert dies in einem offenen WLAN-Netzwerk, kann ein potentieller Angreifer das Token abgreifen und sich mit ihm Zugang zum Kalender, zu den Kontakten und zu Bildern, die bei Picasa hochgeladen wurden verschaffen. Zwei Wochen lang bleiben diese Tokens unverändert. Und damit kann es für jede Anfrage an die Service-API genutzt werden. Betroffen sind auch Anwendungen von Drittanbietern wie beispielsweise Facebook oder Twitter.
Android 2.3.4 sicherer
Sicherheitsexperte Bastian Könings erklärte, er habe Google schon vor einiger Zeit über die Sicherheitslücke informiert, doch habe der Konzern nur sehr knapp darauf reagiert. Jetzt heißt es von Google, das Datenleck werde derzeit geprüft. Bei Android 2.3.4 und Android 3.0 erfolgt die Synchronisation von Kalender und Kontakten über HTTPS, also verschlüsselt. Nur Picasa nutzt weiterhin die unverschlüsselte Synchronisation.
Risiken minimieren
Wer nicht die Möglichkeit hat, sein Smartphone auf Android 2.3.4 zu bringen, hat andere Optionen, sich zu schützen. So sollte man öffentliche WLAN-Netze vermeiden. Nutzt man dennoch ein öffentliches WLAN, beispielsweise über einen Hotspot an Bahnhöfen oder Flughäfen, sollte man die automatische Synchronisierung abschalten. Außerdem sollte man während man in einem unverschlüsselten WLAN-Netz unterwegs ist keine Termine oder Kontakte verwalten, um zu verhindern, dass ein Authentifizierungs-Token übertragen wird. Bereits genutzte WLAN-Netze sollten User aus der Liste der gespeicherten WLANs löschen. So kann das Risiko eines ungewollten Angriffs verhindert werden.
Keine unnötige Panik
Diese Sicherheitslücke birgt ganz klar Risiken. Dennoch braucht man nicht in Panik ausbrechen. Denn um wirklich Daten abzugreifen, muss sich der Angreifer im selben WLAN-Netz befinden wie das betroffene Smartphone.
Keine Antworten : Gravierende Sicherheitslücke in Android entdeckt”
Einen Kommentar schreiben
Werbung
Werde Facebook-Fan!
Beliebte Themen
Letzte Posts
Aktuelle Kommentare
Ice Age: Die Siedlung – Eiszeit-Abenteuer auf dem Smartphone” 16. Mai, 1:39h
Es wurde auch endlich Zeit, dass das Note auch Ice Cream Sandwich erhält. Beim Galaxy S2 kam das ja ziemlich verspätet, doch beim Note sollte... 13. Mai, 0:42h
Hi Leute! Ich habe das Game seit vier Wochen und bei mir läuft alles super. Das Problem, welches ihr beschreibt, scheint aber verbreitet zu sein,... 12. Mai, 22:06h
seit ich die frage wegen diesem Update bekommen habe bei mir lauft das game nett mehr, ich höre zu Anfang Musik, dann aus alle Apps... 08. Mai, 12:58h
Stimmt, bin mittlerweile in Level 25 und habe noch nie "Freunde besucht", ist kein Problem, nur dass man dann halt das "Freunde"-Ziel leider nicht erfüllen... 03. Mai, 11:46h
[...] alle Versionen von Googles mobilem Betriebssystem, für Android 2.3.4 und Android [...] blog-android.de – News und Apps für Android Android [...]