Riesiges Sicherheitsleck in Google Android
Android-Maskottchen: Katastrophale Lücke Googles Handy-Betriebssystem
In Googles Smartphone-Betriebssystem Android klafft ein riesiges Sicherheitsleck: Kinderleicht können über einen offene WLAN-Hotspot die Kontakt- und Kalendereinträge aber auch Fotos und andere Daten abgegriffen werden. Das entdeckten Sicherheitsforscher der Universität Ulm. Ein Gegenmittel gibt es bisher noch nicht, Google verspricht jedoch, schnellstmöglich ein Update anzubieten.
Nutzt der Besitzer eines Android-Smartphones einen offenen WLAN-Hotspot, dann können Fremde problemlos Kontakt- und Kalenderdaten der Nutzer ausspähen, Fotos aus der Fotosammlung und sogar Authentifizierungsdateien – sogenannte Tokens – stehlen. Wie Spiegel Online berichtet sind von dem massiven Sicherheitsleck sind 99 Prozent aller Android-Nutzer betroffen.
Google macht es den Angreifern leicht
Bastian Königs von der Universität Ulm erklärte gegenüber Spiegel Online, dass der Angriff sehr einfach ist: "Dafür muss man noch nicht einmal studiert haben. Das ist von Google sehr gut dokumentiert.“ Der Angriff ist deshalb so simpel, weil Google beim Login für seine eigenen Dienste auf eine gesicherte Online-Verbindung per https verzichtet. Statt dessen wird nur eine unverschlüsselte und damit unsichere Verbindung hergestellt, die dann ein Angreifer ausnutzen kann. Anfällig sind daher zunächst einmal alle von Google selbst zur Verfügung gestellten Apps auf einem Smartphone mit Android bis Version 2.3.3. Dazu gehört auch die Fotoverwaltung Picasa. Aber auch die Apps von Drittanbietern sind betroffen. Beispielsweise das beliebte Mail-Programm Thunderbird, dass Daten mit dem Google Calendar austauscht.
Google verspricht Update
Königs hat Google die Sicherheitslücke schon vor einiger Zeit gemeldet. Der Konzern will das Problem prüfen und mit einem Update für Android 2.3.4 beheben. In der bisherigen Version von 2.3.4 wird nur für Kontakte und Kalender, nicht aber für Picasa eine sichere Verbindung über das verschlüsselte Internet-Protokoll https genutzt. Daher bleibt Android 2.3.4 weiter anfällig. Da Version 2.3.4 erst seit Anfang Mai verfügbar ist, dürften die meisten Android-Nutzer noch mit Vorgängerversionen arbeiten. Der Suchmaschinenkonzern gibt bisher weder eine offizielle Stellungnahme zu der Sicherheitslücke ab, noch informiert Google, wann mit dem Sicherheits-Update zu rechnen ist. Aufatmen können die Käufer von Tablet-Computern mit Android: Die auf diese Geräte zugeschnittene Version 3.0 weist die Sicherheitslücke nicht auf. Hier werden immer sichere Verbindungen über https aufgebaut.
Unverschlüsselte WLAN meiden
Die Experten der Universität Ulm raten Besitzern von Android Smartphones offene und damit unverschlüsselte WLAN-Hotspots nicht mehr zu nutzen, bis Goolge die Sicherheitslücke mit einem Update geschlossen hat. Dabei ist wichtig, dass die automatische Anmeldung in zuvor bereits genutzten WLAN-Hotspots verhindert wird. Dazu muss der Nutzer diese Hotspots aus der Liste der Netzwerke löschen. Auf jeden Fall sollte von Android 2.3.3 auf Version 2.3.4 aktualisiert werden, denn damit ist das Sicherheitsleck zumindest für die Kontakter und den Kalender gestopft. Das Problem dabei ist allerdings, dass Nutzer das Update gar nicht selbst anstoßen können. Nur die Mobilfunkprovider können das Update ausliefern.
Quelle:t-online
Android-Maskottchen: Katastrophale Lücke Googles Handy-Betriebssystem
In Googles Smartphone-Betriebssystem Android klafft ein riesiges Sicherheitsleck: Kinderleicht können über einen offene WLAN-Hotspot die Kontakt- und Kalendereinträge aber auch Fotos und andere Daten abgegriffen werden. Das entdeckten Sicherheitsforscher der Universität Ulm. Ein Gegenmittel gibt es bisher noch nicht, Google verspricht jedoch, schnellstmöglich ein Update anzubieten.
Nutzt der Besitzer eines Android-Smartphones einen offenen WLAN-Hotspot, dann können Fremde problemlos Kontakt- und Kalenderdaten der Nutzer ausspähen, Fotos aus der Fotosammlung und sogar Authentifizierungsdateien – sogenannte Tokens – stehlen. Wie Spiegel Online berichtet sind von dem massiven Sicherheitsleck sind 99 Prozent aller Android-Nutzer betroffen.
Google macht es den Angreifern leicht
Bastian Königs von der Universität Ulm erklärte gegenüber Spiegel Online, dass der Angriff sehr einfach ist: "Dafür muss man noch nicht einmal studiert haben. Das ist von Google sehr gut dokumentiert.“ Der Angriff ist deshalb so simpel, weil Google beim Login für seine eigenen Dienste auf eine gesicherte Online-Verbindung per https verzichtet. Statt dessen wird nur eine unverschlüsselte und damit unsichere Verbindung hergestellt, die dann ein Angreifer ausnutzen kann. Anfällig sind daher zunächst einmal alle von Google selbst zur Verfügung gestellten Apps auf einem Smartphone mit Android bis Version 2.3.3. Dazu gehört auch die Fotoverwaltung Picasa. Aber auch die Apps von Drittanbietern sind betroffen. Beispielsweise das beliebte Mail-Programm Thunderbird, dass Daten mit dem Google Calendar austauscht.
Google verspricht Update
Königs hat Google die Sicherheitslücke schon vor einiger Zeit gemeldet. Der Konzern will das Problem prüfen und mit einem Update für Android 2.3.4 beheben. In der bisherigen Version von 2.3.4 wird nur für Kontakte und Kalender, nicht aber für Picasa eine sichere Verbindung über das verschlüsselte Internet-Protokoll https genutzt. Daher bleibt Android 2.3.4 weiter anfällig. Da Version 2.3.4 erst seit Anfang Mai verfügbar ist, dürften die meisten Android-Nutzer noch mit Vorgängerversionen arbeiten. Der Suchmaschinenkonzern gibt bisher weder eine offizielle Stellungnahme zu der Sicherheitslücke ab, noch informiert Google, wann mit dem Sicherheits-Update zu rechnen ist. Aufatmen können die Käufer von Tablet-Computern mit Android: Die auf diese Geräte zugeschnittene Version 3.0 weist die Sicherheitslücke nicht auf. Hier werden immer sichere Verbindungen über https aufgebaut.
Unverschlüsselte WLAN meiden
Die Experten der Universität Ulm raten Besitzern von Android Smartphones offene und damit unverschlüsselte WLAN-Hotspots nicht mehr zu nutzen, bis Goolge die Sicherheitslücke mit einem Update geschlossen hat. Dabei ist wichtig, dass die automatische Anmeldung in zuvor bereits genutzten WLAN-Hotspots verhindert wird. Dazu muss der Nutzer diese Hotspots aus der Liste der Netzwerke löschen. Auf jeden Fall sollte von Android 2.3.3 auf Version 2.3.4 aktualisiert werden, denn damit ist das Sicherheitsleck zumindest für die Kontakter und den Kalender gestopft. Das Problem dabei ist allerdings, dass Nutzer das Update gar nicht selbst anstoßen können. Nur die Mobilfunkprovider können das Update ausliefern.
Quelle:t-online
Mia san Mia und Mia san Tripel
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von ralf38 ()