Android-Lücke sorgt für Aufregung
In offenen WLANs können Angreifer ein Authentifizierungstoken für Google Calender, Contacts und Picasa mitlesen und missbrauchen. Doch viele andere Apps verraten schon länger vertrauliche Daten - ohne dass es der Anwender ahnt.
- Daniel Bachfeld
Die kürzlich gemeldete Android-Schwachstelle in der Datenübertragung dreier Google-Apps schlägt hohe Wellen – obwohl die meisten Anwender hinsichtlich der unsicheren Datenübertragung anderer Apps weitaus größere Probleme haben dürften. Weil die Apps für Google Calendar, Contacts und Picasa beim Synchronisieren einen Authentifizierungstoken im Klartext senden, können Neugierige diesen in offenen WLANs mitlesen und für ihre Zwecke missbrauchen. Denkbar ist etwa, dass Vandalen Kalenderinhalte oder Kontaktdaten manipulieren.
Allerdings muss man die Tragweite des Problems etwas relativieren. Der Token ist an die jeweilige App gebunden; mit einem Picasa-Token kann man also nicht auf den Kalender zugreifen – und schon gar nicht auf andere Google Apps, wie Google Docs oder gar Mail. Ohnehin kommunizieren die meisten Mail-Clients und viele andere Apps für Android standardmäßig unverschlüsselt mit einem Server, wie c't schon im Oktober des vergangenen Jahres bereits berichtete. Das gilt grundsätzlich auch für das iPhone und jedes andere mobile Gerät: In offenen WLANs können Angreifer Daten mitlesen – was zwar seit den Meldungen über den medienwirksamen Cookie-Klauer Firesheep mittlerweile niemanden mehr überraschen sollte, es offenbar aber trotzdem immer noch tut.
Schutz vor dem Mitlesen in offenen WLANs bietet nur die verschlüsselte Übertragung, entweder indem die App selbst verschlüsselt oder indem man seinen gesamten Verkehr durch ein VPN tunnelt. Bei den nun betroffenen Apps kann man die Verschlüsselung jedoch nicht konfigurieren. Zum Einsatz eines VPNs hat man jedoch die Alternative, die automatische Synchronisierung der Apps zu deaktivieren. Dann kann auch in offenen WLANs zumindest das Token keiner mehr mitlesen. Die Option findet man unter Menu/Einstellungen/Konten&Synchronisierung. Wie man ein VPN auf dem iPhone oder unter Android einrichtet, zeigt der Artikel "Fernweh - VPN für Smartphones".
Google hat das Sicherheitsproblem zwar in Android-Version 2.3.4 für den Kalender und die Kontakte gelöst, leider verhindert die bekannte Update-Problematik das zeitnahe Einspielen neuer Versionen. Damit stehen geschätzte 99 Prozent der Android-Nutzer im Regen, also mehrere hundert Millionen Kunden. Weil jeder Hersteller eine für seine Geräte angepasste Android-Version ausliefert, dauert es Monate, bis die Updates beim Anwender ankommen – wenn überhaupt. Daneben ist Android unfähig, Lücken gezielt zu patchen. In der Regel muss immer ein komplett neues Image geflasht werden. Google und die Hersteller haben das Problem erkannt und wollen nun den Update-Prozess verbessern und beschleunigen. (dab)