zum Hauptinhalt
Das Betriebssystem Android ist auf einer Vielzahl von Geräten erhältlich. Der Nachteil: Softwareaktualisierungen müssen an jedes Gerät angepasst werden und kommen mit Verzögerung auf das Gerät des Nutzers.

© dpa

Android Betriebssystem Über 90 Prozent von Google Smartphones von Datenleck betroffen

Deutsche Forscher haben ein Datenleck in Googles Smartphone-Betriebssystem Android entdeckt. Sensible Daten werden unverschlüsselt übertragen und lassen sich über WLANs leicht auslesen.

Stand:

Forscher der Universität Ulm haben herausgefunden, dass ein Großteil aller Smartphones mit Googles Betriebssystem Android sensible Daten unverschlüsselt versenden. Betroffen sind dabei unter anderem wichtige Apps wie Google Kalender, Kontakte oder die App zu Googles Fotoservice Picasa. Im Prinzip sei jede App davon betroffen, die das so genannte ClientLogin-Protokoll für die Identifizierung an einem Google-Server verwendet. Bei diesem Protokoll werden der Account-Name und das Passwort des Nutzers an die Server gesendet. Wenn sie korrekt sind, schickt der Server einen Authentifizierungstoken (authToken) an das Smartphone zurück, damit der Nutzer sich beispielsweise für eine gewisse Zeit nicht mehr anmelden muss - ähnlich wie die dauerhaften Logins bei Facebook oder Twitter in einem normalen Browser.

Diese Tokens werden von einigen Apps unverschlüsselt verschickt und lassen sich mit Hilfe einfacher Programme auslesen. Dazu muss das Smartphone nur in einem offenen WLAN oder in einem WLAN bei dem alle Nutzer das gleiche Passwort benutzen, wie es in Cafés oder Hostels üblich ist, angemeldet sein. Durch die ausgelesenen Daten ist es möglich, dass die Datendiebe Aktionen im Namen des Nutzers ausführen können. Google hat zwar schon reagiert und den Kalender und die Kontakte mit Android Version 2.3.4 beziehungsweise 3 auf verschlüsselte Datenübertragung via HTTPS aktualisiert, jedoch verwenden über 90 Prozent aller Android-Nutzer ältere Versionen. Aktualisierungen sind nicht ohne weiteres zu bekommen. Sie müssen speziell auf jedes Endgerät angepasst werden und die Mobilfunkbetreiber verteilen sie – wenn überhaupt – nur mit einiger Verzögerung.

Nutzer der betroffenen Smartphones können sich am besten schützen, in dem sie vermeiden sich mit unsicheren WLANs zu verbinden. Ist es jedoch unvermeidbar, sollte die automatische Synchronisation der unsicheren Apps abgestellt werden. Google hat unterdessen auf seiner Hauskonferenz Google I/O am 10. Mai angekündigt, dass Android-Aktualisierungen in Zukunft schneller verteilt werden sollen. Die Wissenschaftler der Universität Ulm fordern allerdings, dass auch die Lebenszeit der Tokens drastisch verkürzt werden muss und alle Apps in Zukunft auf verschlüsselte Datenübertragung setzen sollten.

Florian Wittig

Zur Startseite

showPaywall:
false
isSubscriber:
false
isPaid:
console.debug({ userId: "", verifiedBot: "false", botCategory: "" })