Riesiges Sicherheitsleck in Google Android
Android-Maskottchen: Katastrophale Lücke Googles Handy-Betriebssystem
In Googles Smartphone-Betriebssystem Android klafft ein riesiges Sicherheitsleck: Kinderleicht können über einen offene WLAN-Hotspot die Kontakt- und Kalendereinträge aber auch Fotos und andere Daten abgegriffen werden. Das entdeckten Sicherheitsforscher der Universität Ulm. Ein Gegenmittel gibt es bisher noch nicht, Google verspricht jedoch, schnellstmöglich ein Update anzubieten.

Nutzt der Besitzer eines Android-Smartphones einen offenen WLAN-Hotspot, dann können Fremde problemlos Kontakt- und Kalenderdaten der Nutzer ausspähen, Fotos aus der Fotosammlung und sogar Authentifizierungsdateien – sogenannte Tokens – stehlen. Wie Spiegel Online berichtet sind von dem massiven Sicherheitsleck sind 99 Prozent aller Android-Nutzer betroffen.
Google macht es den Angreifern leicht

Bastian Königs von der Universität Ulm erklärte gegenüber Spiegel Online, dass der Angriff sehr einfach ist: "Dafür muss man noch nicht einmal studiert haben. Das ist von Google sehr gut dokumentiert.“ Der Angriff ist deshalb so simpel, weil Google beim Login für seine eigenen Dienste auf eine gesicherte Online-Verbindung per https verzichtet. Statt dessen wird nur eine unverschlüsselte und damit unsichere Verbindung hergestellt, die dann ein Angreifer ausnutzen kann. Anfällig sind daher zunächst einmal alle von Google selbst zur Verfügung gestellten Apps auf einem Smartphone mit Android bis Version 2.3.3. Dazu gehört auch die Fotoverwaltung Picasa. Aber auch die Apps von Drittanbietern sind betroffen. Beispielsweise das beliebte Mail-Programm Thunderbird, dass Daten mit dem Google Calendar austauscht.
Google verspricht Update

Königs hat Google die Sicherheitslücke schon vor einiger Zeit gemeldet. Der Konzern will das Problem prüfen und mit einem Update für Android 2.3.4 beheben. In der bisherigen Version von 2.3.4 wird nur für Kontakte und Kalender, nicht aber für Picasa eine sichere Verbindung über das verschlüsselte Internet-Protokoll https genutzt. Daher bleibt Android 2.3.4 weiter anfällig. Da Version 2.3.4 erst seit Anfang Mai verfügbar ist, dürften die meisten Android-Nutzer noch mit Vorgängerversionen arbeiten. Der Suchmaschinenkonzern gibt bisher weder eine offizielle Stellungnahme zu der Sicherheitslücke ab, noch informiert Google, wann mit dem Sicherheits-Update zu rechnen ist. Aufatmen können die Käufer von Tablet-Computern mit Android: Die auf diese Geräte zugeschnittene Version 3.0 weist die Sicherheitslücke nicht auf. Hier werden immer sichere Verbindungen über https aufgebaut.
Unverschlüsselte WLAN meiden

Die Experten der Universität Ulm raten Besitzern von Android Smartphones offene und damit unverschlüsselte WLAN-Hotspots nicht mehr zu nutzen, bis Goolge die Sicherheitslücke mit einem Update geschlossen hat. Dabei ist wichtig, dass die automatische Anmeldung in zuvor bereits genutzten WLAN-Hotspots verhindert wird. Dazu muss der Nutzer diese Hotspots aus der Liste der Netzwerke löschen. Auf jeden Fall sollte von Android 2.3.3 auf Version 2.3.4 aktualisiert werden, denn damit ist das Sicherheitsleck zumindest für die Kontakter und den Kalender gestopft. Das Problem dabei ist allerdings, dass Nutzer das Update gar nicht selbst anstoßen können. Nur die Mobilfunkprovider können das Update ausliefern.
Quelle:t-online

Deutsche Forscher finden Datenleck in Android in Kooperation mit Spiegel Online

In Googles Handy-Betriebssystem tut sich ein mächtiges Loch auf: Wer mit einem Android-Smartphone oder -Tablet in einem offenen W-Lan unterwegs ist, öffnet damit Kalender, Kontakte und online gespeicherte Fotos für böswillige Angreifer. Betroffen sind 99 Prozent aller Android-Geräte. Forscher haben ein massives Sicherheitsleck in dem Handy-OS gefunden.

Hamburg/Ulm - Bastian Könings hat sein Handy sicherheitshalber geknackt. Das war die einzige Möglichkeit, die große Sicherheitslücke in Googles Handy-Betriebssystem Android zu schließen, die das Team des IT-Security-Forschers gefunden hatte. Das Leck erlaubt einem Angreifer, sämtliche Daten mitzulesen, die ein Benutzer seinem Handy-Kalender, seiner Kontaktliste oder dem Android-Fotoprogramm anvertraut - sofern dieser Nutzer sein Handy in einem offenen W-Lan benutzt. Mehr noch: Die Lücke würde es sogar erlauben, "sich diesen Diensten gegenüber als der betreffende Nutzer auszugeben", erklärt Könings. Dazu müsste man nur Googles Schnittstellen für externe Entwickler benutzen.

Schwierig sei ein solcher Angriff nicht, sagt Könings: "Dafür muss man noch nicht einmal studiert haben. Das ist von Google sehr gut dokumentiert. Diese Angriffe sind sehr einfach."

Interessant für Konkurrenten, Stalker, Kriminelle

Ein denkbares Szenario schildert Könings so: Ein Angreifer macht ein offenes W-Lan auf und gibt ihm einen häufigen Netzwerk-Namen - etwa einen, der standardmäßig in Café-Ketten oder Flughafen-Lounges ("FreePublicWifi") verwendet wird. Jedes Android-Handy, das in die Reichweite dieses Hot Spots kommt und schon einmal in einem anderen Netzwerk gleichen Namens angemeldet war, würde sich automatisch mit dem neuen, offenen, kostenlos nutzbaren W-Lan anmelden - der Besitzer würde das nicht einmal bemerken. Der Angreifer könnte sodann, sobald sich Kalender, Kontakte-Anwendung und Foto-Anwendung mit Googles Cloud-Diensten synchronisieren, alles abfangen, was da hinüberwandert - inklusive bestimmter Authentifizierungsdateien, sogenannter Tokens.

Diese Tokens bleiben über "maximal zwei Wochen" unverändert, sagt Könings. Wer eins ergattert hat, könnte anschließend nach Belieben im Kalender, der Kontaktliste oder den Online-Fotogalerien seines Opfers herumgeistern, Daten herausholen oder hineinfüllen. Das wäre für geschäftliche Konkurrenten ebenso interessant wie für Stalker oder Kriminelle, die gerne wissen möchten, wann jemand sicher nicht zu Hause sein wird.

Nicht nur Google-eigene Apps nutzen dieses Anmeldesystem. Könings nennt als Beispiel das kostenlose E-Mail-Programm Thunderbird - auch das lässt sich mit einem Google-Kalender nach dem gleichen Prinzip synchronisieren. Auch andere Apps könnten also von dem Problem betroffen sein.

Google prüft eigenen Angaben zufolge derzeit die Sicherheitslücke. Mehr teilte das Unternehmen auf Anfrage nicht mit. Könings sagt, er habe Google schon vor einiger Zeit auf das Problem hingewiesen. Die Antworten des Unternehmens seien jedoch "immer sehr knapp" ausgefallen.

99 Prozent aller Android-Nutzer dürften betroffen sein

Googles Android-System ist in Deutschland weit verbreitet. Von Januar bis März haben sich hierzulande die Abrufe von Web-Seiten mit Mobiltelefonen, auf denen Android läuft, mehr als verdoppelt. Die Android-Geräte haben Apples iPhone in dem Zeitraum vom ersten Platz in der Auswertung des Werbevermarkters inMobi verdrängt. Diese Statistik beruht auf der Auswertung der Werbeeinblendungen des Vermarkters - die Anteile spiegeln nicht exakt die Gesamtverteilung wider, taugen aber als Barometer für die Entwicklung.

Das Team der Universität Ulm hat zwar dieses schwere Sicherheitsleck im Google-Betriebssystem Android entdeckt - die Vorarbeit haben jedoch Forscher in den USA geleistet. Sie hatten gezeigt, dass die Daten vieler Anwendungen unverschlüsselt über W-Lan-Netzwerke gesendet werden, auch bei anderen Geräten. Zudem waren beispielsweise Programme von Drittanbietern wie Facebook und Twitter betroffen. Ein Blog-Beitrag des Professors Dan Wallach von der Rice University in Houston hatte die Forscher aus Ulm auf die Spur gebracht. Wallach hatte herausgefunden, dass einige Anwendungen auf Android-Handys die Daten unverschlüsselt übermitteln.

Offene W-Lans sind ab jetzt tabu

Betroffen sind fast alle Android-Nutzer - laut den Forschern hat Google die Sicherheitslücke zwar in der Betriebssystem-Version 2.3.4. geschlossen, aber nur für Kalender und Kontakte. Die Picasa-Fotoanwendung weist die Lücke auch in der neuen Version noch auf, sie wird von einem externen Unternehmen entwickelt.

Allerdings ist die Version 2.3.4 erst seit Anfang Mai verfügbar - und das längst nicht für alle Geräte. Denn die Aktualisierungen des Systems hängen von den Mobilfunk-Providern ab, Nutzer können darauf keinen Einfluss nehmen, ohne das System zu knacken. Bei seiner Entwicklerkonferenz Google I/O hatte der Suchmaschinenkonzern vergangene Woche angekündigt, man werde diesen langsamen, umständlichen und ungleichmäßigen Update-Prozess nun verbessern und beschleunigen. Dazu haben sich zunächst die Unternehmen Verizon, HTC, Samsung, Sprint, Sony Ericsson, LG, T-Mobile, Vodafone, Motorola and AT&T verpflichtet. Die Entwickler im Saal jubelten - viele empfinden die, wie Könings sagt, "ewigen" Wartezeiten auf aktuelle Betriebssystem-Versionen als quälend und kontraproduktiv - und als gefährlich.

"Die einzige Möglichkeit, mein eigenes Gerät sicher zu machen, war, mir Root Access zu verschaffen", sagt Könings. Nur mit diesem Vollzugriff aufs System konnte er durch ein selbstdurchgeführtes Betriebssystem-Update die Lücke schließen, die sein Team entdeckt hatte. Normalen Besitzern eines Android-Handys würde der IT-Security-Forscher von der Universität Ulm davon allerdings dringend abraten, denn dieses Vorgehen bringt neue unkalkulierbare Risiken mit sich.

Google hat zuletzt Anfang Mai Informationen zur Verteilung unterschiedlicher Versionen des Betriebssystems veröffentlicht. Die Daten basieren auf einer Analyse aller Geräte, von denen der Software-Laden Android Market binnen zwei Wochen aufgerufen wurde. Demnach läuft auf nahezu 80 Prozent der Android-Geräte die Version 2.1 oder 2.2 von Android. Es ist unklar, wie viele Nutzer seitdem die neue Android-Version installiert haben - der Anteil dürfte allerdings minimal sein.

Für alle Betroffenen hat Könings einen wichtigen Rat: Die automatische Anmeldung in bereits besuchten W-Lans lässt sich nur unterbinden, indem man diese Netzwerke aus der im Handy oder Tablet gespeicherten Netzwerkliste löscht. Über Einstellungen -> W-Lan-Einstellungen kann man sich die gespeicherten Netze anzeigen lassen. Wer alle gespeicherten offenen (W-Lan-Symbol ohne Vorhängeschloss) W-Lans löscht, sich vorerst in keinem offenen W-Lan mehr anmeldet, und dann noch sein Google-Passwort ändert, ist auf der sicheren Seite.

Die Technik, in offenen W-Lans Daten mitzuschneiden und damit Schlimmes anzustellen, funktioniert übrigens auch bei anderen Geräten. Wer also in einem offenen W-Lan Anwendungen benutzt - egal, ob mit einem iPhone, einem Laptop oder einem Android-Handy -, die unverschlüsselt Daten mit der Wolke austauschen, geht stets ein Risiko ein.
Quelle Spiegel Online

Google: Sicherheitslücke bei Android wird behoben

Berlin (dpa) - Android, die meistverbreitete Smartphone-Plattform, hat eine Sicherheitslücke - ausgerechnet in den Google-Apps für Kalender und Kontakte. Angreifer könnten auf Daten zugreifen, aber nur mit Hilfe unverschlüsselter WLAN-Netze. Google behebt das Problem.
Datenleck bei Android Deutsche Forscher haben ein Datenleck bei Googles Android gefunden. Es soll nun schnell geschlossen werden.

Die Sicherheitslücke im Smartphone-Betriebssystem Android, die derzeit für Aufregung sorgt, wird von Google geschlossen. Ulmer Forscher hatten darauf aufmerksam gemacht, dass in ungeschützten WLAN-Netzen Angreifer auf Google-Kontakte und -Kalender eines Nutzers sowie sein Konto beim Fotodienst Picasa zugreifen könnten. "Wir sind uns des Themas bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen", sagte Google-Sprecher Kay Oberbeck der dpa am Mittwoch (18. Mai). Bisher dürfte aber nur eine Minderheit der Nutzer die neuen Android-Varianten haben.

Kern des Problems ist, dass Identifizierungsschlüssel für die Dienste unter Umständen von Angreifern abgefangen werden können. Von der Sicherheitslücke sind die älteren Android-Varianten betroffen, die nach Angaben der Forscher am Institut für Medieninformatik der Universität Ulm derzeit noch 99,7 Prozent aller Android-Geräte ausmachen.

Die Experten kritisierten in einem bereits vergangene Woche veröffentlichten Papier, dass die drei Google-Dienste bei Android sogenannte ID-Token unverschlüsselt senden. Ist auch die Verbindung zu einem WLAN-Netzwerk ungeschützt, habe ein Angreifer damit leichtes Spiel.

Sicherheitsexperten warnen allerdings generell stets davor, Daten in offenen WLAN-Netzen zu versenden. Das gilt nicht nur für Smartphones, sondern auch für herkömmliche Personal Computer.

Zugleich ist die unverschlüsselte Verbindung zu Webdiensten ein bekanntes Problem. Große Sorge gab es vor einigen Monaten, als Sicherheitsexperten demonstrierten, wie leicht etwa Facebook- oder Twitter-Sitzungen gekapert werden können, wenn ein Angreifer die unverschlüsselt gesendeten Verbindungsinformationen abfängt. Die Dienste bieten inzwischen die sichere Verbindung über das Protokoll HTTPS an. Auch die betroffenen Google-Apps greifen in den neueren Android-Versionen 2.3.4. und 3.0 zumindest für die Kalender und Kontakte laut den Ulmer Forschern zu HTTPS.

Diese neuen Android-Varianten dürften allerdings bisher noch wenig verbreitet sein. Laut Angaben auf einer Android-Entwicklerwebsite von Anfang Mai lief auf fast zwei Dritteln der Geräte noch Android 2.2 und auf einem Viertel noch 2.1, die Vorgänger-Version. Auf Android 3.0 entfielen damals nur 0,3 Prozent. Allerdings lädt Google neue Versionen permanent schrittweise auf die Geräte der Nutzer, zu den aktuellen Anteilen unterschiedlicher Android-Varianten konnte der Firmensprecher keine Angaben machen.

Android übernahm zuletzt die Führung im Smartphone-Markt vom langjährigen Spitzenreiter, Nokias Betriebssystem Symbian. Marktbeobachter gehen auch davon aus, dass die Google-Plattform in den kommenden Jahren zur stärksten Kraft im gesamten Handy-Markt werden wird. Daher werden mögliche Sicherheitslücken besonders aufmerksam verfolgt. Als ein Risiko wird unter anderem kritisiert, dass Entwickler ihre Apps ohne vorherige Prüfung anbieten können. Im März wurden einige Dutzend Programme aus dem Android Market entfernt, weil sie darauf ausgelegt waren, Nutzer-Informationen abzugreifen.

Die Ulmer Experten probierten den Angriff nur mit den Kontakt- und Kalender-Diensten von Google aus. Theoretisch sei er aber mit allen Google-Diensten möglich, die das Authentifizierungsprotokoll ClientLogin nutzen. Dabei wird ein bis zu zwei Wochen gültiger ID-Schlüssel ausgestellt, damit eine App auf Daten zugreifen kann. Wird ein solcher Schlüssel über eine ungeschützte Verbindung abgefangen, kann sich ein Angreifer damit bei dem Dienst für den rechtmäßigen Nutzer ausgeben. Er hätte damit vollen Zugriff auf die Informationen oder Picasa-Bilder, da die Token nicht an eine aktuelle Sitzung oder ein bestimmtes Gerät gebunden seien, betonten die Forscher. Auch Android-Apps für Facebook oder Twitter hätten in den Tests Informationen unverschlüsselt gesendet.
Quelle:web.de