Android und andere OS stolpern über offene WLAN Verbindungen

[UPDATE 19.05.2011, 10:30: Die Lücke wurde für die Google Apps ‘Kontakte’ und ‘Calendar’ geschlossen (Wie gesagt, es ist ein Problem der Apps und nicht von Android). Dazu erzwingt Google ab sofort Serverseitig eine SSL Verbindung für die Übermittlung des Tokens. Eine Lösung für Picasa ist noch nicht vorhanden, dürfte aber zeitnah folgen. Bleibt nur noch die Frage, wann die Entwickler von Apps wie Facebook & Co. nachziehen.]

Kein Tag vergeht mehr, an dem nicht irgend eine Meldung über Hackerangriffe die Zeitungen oder Onlineportale thematisch bestimmt. Nun hat es – zwar ohne Hackerangriff – auch Android getroffen. Wenn auch sehr bescheiden.

Wie Forscher der Universität Ulm bekannt gaben, betrifft das potentielle Problem alle Android Geräte die mit einem unverschlüsselten WLAN verbunden sind und dabei eine Android Version 2.3.3 oder älter verwenden. Mit Version 2.3.4 soll das Problem behoben sein.

Laut den Forschern wird beim Synchronisieren der Kontakte und des Kalenders nicht das Passwort an den Google Service geschickt, sondern ein sogenanntes Token. Dieses Token identifiziert das Gerät und den User und ermöglicht die Synchronisation. Dabei wird gemäss den Forschern die Verbindung über die das Android Handy die Daten an den Server schickt, nicht verschlüsselt. So ist es theoretisch möglich, dass der Betreiber des offenen WLAN Netzes dieses Token abfängt und mit geeigneter Software den Kalender und die Kontaktdaten auslesen kann.

Google ist das Problem offenbar bekannt, so wird bei Android 2.3.4 die Verbindung automatisch über SSL verschlüsselt, was ein auslesen des Tokens praktisch unmöglich macht. Usern mit älteren Android Versionen, welche sich nun verunsichert fühlen, empfehlen wir offene WLAN Netzwerke zu meiden.

Alle Betriebssysteme betroffen, nicht nur Android

Entgegen aller schnell recherchierten Zeitungsbeiträge muss man erkennen und auch wissen, das zahlreiche Dienste (und deren eigens programmierten Android Apps) wie Twitter und Facebook genau dieselbe Lücke aufweisen, und die Verbindung nicht verschlüsselt stattfindet. Egal mit welchem Gerätetyp die App verwendet wird. Somit stolpert jedes Smartphone und jedes andere Endgerät über diese “Lücke”, welches mit einem unverschlüsselten Dienst kommuniziert. Von daher geht Google mit Android sogar einen Schritt weiter und erzwingt ab der Gingerbread Version 3.3.4 eine SSL Verbindung, was ein Plus an Sicherheit gegenüber den Konkurrenten iOS & Co. ist.

Im folgenden Forumthread könnt ihr über das Thema diskutieren: http://forum.android-schweiz.ch/android/android-news/1568-android-apps-senden-authentifizierungstoken-unverschluesselt.html

  • Frank

    Morgen TOM, das Thema hatte ich heute morgen auch auf meinem Radar, "The Early Bird catch the Worm"

  • http://www.pokipsie.ch Martin Rechsteiner

    Besten dank für deinen Kommentar (http://www.pokipsie.ch/2011/05/18/android-bitte-keine-offentlichen-wlans-mehr-gebrauchen-datenleck-bei-99-aller-smartphones/) ist in der Tat so – deshalb hab ich es auch in den blog beitrag genommen) immer mehr News Seiten und Nachrichten organisationen stürzen sich nur noch auf die möglichen einschaltquoten anstatt sauberen journalismus zu betreiben, echt schade eigentlich .-(

  • Werner Enz

    Jau. N24 ist so ein Beispiel – und schon flamen dort alle Apple-User los.
    Aber eigentlich passts dort zum Niveau. 20min Online sowieso. Bei denen landet auch schon mal in der Zeitung ein HTC Desire mit WinMob-Screen (hab ich sogar fotografiert, war so sauer).

    (Btw: Wieso krieg ich hier eine Fehlermeldung, dass ich meine Mailadresse angeben muss um den Kommentar zu speichern, wenn hinter ebenjener "optional" steht?)

    • tom

      Hoi Werner. Ja, das ist der Journalismus heute. Die schreiben nur noch Agenturmeldungen ab. Und wenn die falsch ist, dann wird das ein ellenlanger Rattenschwanz.

      Das mit den Kommentaren hier tut mir leid. Wir arbeiten bereits an einer besseren Lösung und lassen daher das bisherige System stehen wie es ist. Hoffe du hältst es noch ein wenig damit aus :)

  • http://www.facebook.com/barrea Raffaele Barrea

    also i binn no lang nid so paranoid dass i miar do sorga macha..^^

  • tom

    Leute, helft uns und vor allem Android in dem ihr diesen Blogpost hier an alle interessierten Leute schickt. Es kann doch nicht sein, das eine halbbatzige Agenturmeldung derart viele falsche Zeitungsmeldungen verursachen kann…! Danke für jegliche Hilfe!

  • Päscu

    gibt es irgendwo eine schlüssige Quelle, die das ganze belegt?

    • tom

      Ja, Logfiles auf dem Android Gerät belegen, dass die Apps eine unverschlüsselte Verbindung aufbauen um sich beim Server zu authentifizieren.

      Gruss, tom

  • Pingback: Anonymous

  • Lukas Thür

    haha bei android wird bei so einer Sicherheitslücke ein Zeitungsbericht geschrieben, bei iOS würde das Fernsehen eine Sondersendung laufen und jeder würde behaupten iOS sei unsicher….
    Android hatt es halt einfacher mit der Konkurenz : Apple würde von Android & Co in Stücke zerfetzt werden hahahahah ^^

    • tom

      Lustig, weil dann würde ja bei Apple trotz kleinerem Marktanteil als Android noch mehr Wind gemacht :)