Smartphone

Google bestätigt Android-Sicherheitslücke und bringt Server-Patch

Ulmer Forscher haben in fast allen Android-Versionen eine Sicherheitslücke gefunden, durch die Angreifer über ein speziell präpariertes WLAN-Netzwerk theoretisch die Zugangsberechtigungen für viele Google-Dienste oder Facebook auslesen können. Google hat die Lücke mittlerweile bestätigt und einen Patch angekündigt. (Lars Craemer, 19.05.2011)

Im Bild sehen Sie den authToken für ein Picasa-Login. [Quelle: siehe Bildergalerie]

Im Android-Betriebssystem von Google gibt es derzeit eine Sicherheitslücke, mit der es Angreifern theoretisch möglich ist, einige Anmeldedaten über ungesicherte WLAN-Netzwerke auszulesen. Betroffen sind alle Android-Smartphones mit der Software-Version 2.3.3 und abwärts - was so ziemlich jedes aktuelle Android-Handy einschließt.

Google hat die Sicherheitslücke bereits offiziell bestätigt und für die betroffenen Server wid seit heute ein Patch verwendet, laut Google muss der Anwender keinen aktiven Beitrag zum Update leisten und es werden alle Android-Versionen nachgebessert. Innerhalb einer Woche soll die Sicherheitslücke weltweit geschlossen sein. Allerdings wird mit dem Patch nur die Lücke des Kalenders und der Kontakte geschlossen, anscheinend gestaltet sich die Nachbesserung bei Picasa umfangreicher.

"Today we're starting to roll out a fix which addresses a potential security flaw that could, under certain circumstances, allow a third party access to data available in calendar and contacts. This fix requires no action from users and will roll out globally over the next few days."

Bei der Sicherheitslücke steht der regelmäßige Datenaustausch der Smartphones mit den verschiedenen Google-Diensten im Fokus, bis zur Version 2.3.3 geschieht dies unverschlüsselt im Klartext. An sich noch kein Problem, wenn Angreifer allerdings ein ungesichertes WLAN-Netzwerk einrichten und das Smartphone über dieses versucht, Daten mit den Servern abzugleichen, können spezielle Tools die sogenannten "authTokens" auslesen. Dies ist quasi die Zugangsberechtigung zu den Daten der Smartphone-Besitzer und Angreifer können so beispielsweise Kalendereinträge, Kontakte und Fotos ausspähen; auch Zugangsinformationen von sozialen Netzwerken wie beispielsweise Facebook sind von dieser Methode betroffen.

Diese Sicherheitslücke ist zwar nicht nur für Android-Smartphones reserviert und auch gängige Netbook-Modelle können auf diese Art und Weise ausgespäht werden, allerdings bietet Android derzeit nur ab der Version 2.3.4 eine Verschlüsselung des "authTokens"-Datenaustausches.

Quelle: Universität Ulm, Computerworld

Reklame: LG P990 Optimus Speed jetzt bei Amazon bestellen.

(Ansicht vergrößern für Quellenangaben)

Mehr in PCGH Magazin 06 / 2011 - ab 04.05.2011 am Kiosk!

PC Games Hardware 06/2011 bietet ein großes Special rund um das Thema 15 Jahre 3D: Darin finden Sie Benchmarks mit 80 Chips und 700 Einzelwerten sowie die wichtigsten 3D-Beschleuniger & 3D-Spiele. Weitere große Themen sind Kaufberatung Arbeitsspeicher, Special PC-Gehäuse (Test und Rückblick auf die besten Gehäuse der letzten Jahre) sowie gratis mehr Leistung (Grafikkarten optimieren & Intel-CPUs übertakten) und LC-Displays detailliert erklärt.

News, Tests und Wissen zu Handys finden Sie auf der Smartphone- und Handy-Produktseite von PC Games Hardware Online. Alles zum Apple Iphone 5 erfahren Sie auf der PCGH-Themenseite.