Forscher entdecken Lücke in Android
Forscher der Uni Ulm wollen eine Lücke in Android gefunden haben. Doch eigentlich betrifft die Lücke allgemein offene WLAN-Netze, die es in vielen Cafés gibt. Google arbeitet aber an einer Lösung und hat einen Teil der Lücken in manchen Android-Versionen schon geschlossen.
Spätestens alle 14 Tage muss sich ein Android-Telefon neu bei Google authentifizieren. Dabei wird das Token unverschlüsselt per http übertragen. Problematisch ist dies bei unverschlüsselten WLAN-Netzen. Hierbei könnten andere das Token abgreifen und damit sich theoretisch mit dem Account verknüpfen.
In Android 2.3.4 sowie Android 3.0 wird das Token für Contacts und Kalender schon über https also verschlüsselt übertragen. Das Hochladen von Fotos zu Picasa Web erfolgt aber nach Angaben der Forscher aus Ulm noch unverschlüsselt.
Google selbst sagte der DPA, man arbeite an einer Lösung.
Interssant wird es dann wie Google die Lücke schließen möchte, da circa 99% der Android-Phones noch auf älteren Versionen sind. Für Google Mail hat Google zwar eine neue Version veröffentlicht, die steht aber nach wie vor nicht im deutschen Market zum Download bereit. Möglich wäre natürlich auch, dass man dann eine „App“ auf die Smartphone pusht und damit die Lücke schließt wie man es bereits vor einigen Wochen mit einer Lücke im Market gemacht hat.
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
sicher eine lücke. aber sicher überhaupt nicht so kritisch, wie vielerorts behauptet wird. wenn ich mich in ein offenes wlan verbinde, sollte ich mir auch im klaren darüber sein, dass sämtlicher non-ssl traffic unverschlüsselt übertragen wird und somit sehr einfach zu lesen ist. das betrifft aber nicht nur android sondern auch iphone, windows, linux, wlan-drucker etc.
Hallo? Natürlich ist die kritisch. Die übertragen deine Google Auth Daten unverschlüsselt!
Token… nicht Google deinen Google Login.
Und es steht da auch: THEORETISCH…
Gääähn.
Ich hoffe das Google schnell reagiert, denn DAS ist nun wirklich eine unfassbar dämliche Lücke. So was darf nicht passieren.
Eine neue Android Version dürfte wirklich unmöglich sein. Man hat ja schon auf 2.2 als HTV Legend Besitzer ewig warten müssen…
Sorry, aber das ist doch nicht richtig, dass die Lücke nur offene WLANs betrifft. Hier werden sensible Daten unverschlüsselt übertragen. GSM ist damit genauso betroffen und eigentlich auch das verschlüssele WLAN zu Hause. Denn alles geht über das Internet und das ist nicht sicher.
vlg. http://winfuture.de/news,63266.html
OK, habe verglichen und bleibe bei meiner Aussage.
Das Ergebnis des Vergleichs:
Winfuture differenziert zwischen der Lücke „Android verbindet sich automatisch mit schon einmal verbundenen WLANs“ und dem „unverschlüsselten Übertragen von AuthTokens“. Ersteres wird von Winfuture ein wenig ins lächerliche gezogen. Das zweite wird als Sicherheitslücke betrachtet und es wird festgestellt, dass viele andere Dienste auch diese Lücken aufweisen.
Und meine Aussage, dass nicht nur WLANs unsicher sind, sondern letztlich auch GSM und das Internet, über das die Daten ja auf jeden Fall laufen, die bleibt davon unberührt.
Google arbeitet übrigens schon daran die Lücke zu schließen, wie man eingenorts schon lesen konnte.
Die Lücke wird von Google gepatcht. Als Android-User muss man nichts dafür machen:
Tut mir leid die Argumentation: „Wer in einem WLAN sensible Daten überträgt ist selber schuld“ gilt hier nicht!
Sensible Daten wie ein Google-Login haben generell verschlüsselt übertragen zu werden. Ich habe bisher immer gedacht, dass Google dies auch am Handy verschlüsselt überträgt, schließlich ist es beim GoogleMail-WebClient nicht anders, außer man erlaubt explizit das unverschlüsselte übertragen. Auch wenn das Smartphone automatisch im Hintergrund die Kontakte synct, hat dies verschlüsselt zu verfolgen.
Scheint aber wirklich ein dummer Fehler gewesen zu sein. Die c’t hat mal verschiedenste Apps auf ihre Verschlüsselung getestet. Bei GMail und beim Google-Login konnte nix ausgelesen werden. Frage mich, wie sich da der Kalender und die Kontakte durchmogeln konnten.
Lol, eigentlich ist es noch nicht mal einen Kommentar wert, aber diese Forscher haben etwas entdeckt, was völlig normal ist.
Ich hoffe keiner von denen kommt auf die Idee die Datenübertraung von Laptops und den Programmen zu analysieren.
Wer ungesicherte Netzwerke nutzt, dem ist eh nicht mehr zu helfen.
WLAN ist okay. Aber bitte mit WPA2. Der Login ist nicht unverschlüsselt. Es handelt sich hierbei um ein Token. Naja, ich lehne mich entspannt zurück und lächele wie die Massen manipuliert werden können, wenn es irgendwie etwas negatives gegen Google zu sagen gibt. Lol. Ist schon Freitag? Au ja, jetzt schon… 😉