zum Hauptinhalt
Das Betriebssystem Android ist auf einer Vielzahl von Geräten erhältlich. Der Nachteil: Softwareaktualisierungen müssen an jedes Gerät angepasst werden und kommen mit Verzögerung auf das Gerät des Nutzers.

© dpa

Android Betriebssystem Datenleck bei Googles Smartphones

Deutsche Forscher haben ein Datenleck in Googles Smartphone-Betriebssystem Android entdeckt. Sensible Daten werden von einigen Apps unverschlüsselt übertragen und lassen sich über WLANs leicht auslesen.

Forscher der Universität Ulm haben herausgefunden, dass Apps eines Großteils aller Smartphones mit Googles Betriebssystem Android sensible Daten unverschlüsselt versenden. Betroffen sind dabei unter anderem wichtige Applikationen wie Google Kalender, Kontakte oder die App zu Googles Fotoservice Picasa. Im Prinzip sei jede App davon betroffen, die das so genannte ClientLogin-Protokoll für die Identifizierung an einem Google-Server verwendet. Bei diesem Protokoll werden der Account-Name und das Passwort des Nutzers an die Server gesendet. Wenn sie korrekt sind, schickt der Server einen Authentifizierungstoken (authToken) an das Smartphone zurück, damit der Nutzer sich beispielsweise für eine gewisse Zeit nicht mehr anmelden muss - ähnlich wie die dauerhaften Logins bei Facebook oder Twitter in einem normalen Browser.

Diese Tokens werden von einigen Apps unverschlüsselt verschickt und lassen sich mit Hilfe einfacher Programme auslesen. Dazu muss das Smartphone nur in einem offenen WLAN oder in einem WLAN bei dem alle Nutzer das gleiche Passwort benutzen, wie es in Cafés oder Hostels üblich ist, angemeldet sein. Durch die ausgelesenen Daten ist es möglich, dass die Datendiebe Aktionen im Namen des Nutzers ausführen können. Google hat zwar schon reagiert und den Kalender und die Kontakte mit Android Version 2.3.4 beziehungsweise 3 auf verschlüsselte Datenübertragung via HTTPS aktualisiert, jedoch verwenden über 90 Prozent aller Android-Nutzer ältere Versionen. Aktualisierungen sind nicht ohne weiteres zu bekommen. Sie müssen speziell auf jedes Endgerät angepasst werden und die Mobilfunkbetreiber verteilen sie – wenn überhaupt – nur mit einiger Verzögerung.

Nutzer der betroffenen Smartphones können sich am besten schützen, indem sie sich nicht mit unsicheren WLANs verbinden. Ist das jedoch unvermeidbar, sollte die automatische Synchronisation der unsicheren Apps abgestellt werden. Google hat unterdessen auf seiner Hauskonferenz Google I/O am 10. Mai angekündigt, dass Android-Aktualisierungen in Zukunft schneller verteilt werden sollen. Die Wissenschaftler der Universität Ulm fordern allerdings, dass auch die Lebenszeit der Tokens drastisch verkürzt werden muss und alle Apps in Zukunft auf verschlüsselte Datenübertragung setzen sollten.

Florian Wittig

Zur Startseite

showPaywall:
false
isSubscriber:
false
isPaid:
showPaywallPiano:
false