Android-Apps senden Authentifizierungstoken unverschlüsselt
Angreifer können das Token in offenen Funknetzen mitlesen und für den Zugriff auf Inhalte von Google-Anwendungen wie Calendar oder Picasa nutzen. Google hat das Problem erst teilweise gelöst.
- Daniel Bachfeld
Angreifer können eine Schwachstelle in der Datenübertragung von Android ausnutzen, um unbefugt Inhalte von Google Calendar, Picasa-Gallerien und Google Contact anderer Anwender zu manipulieren. Ursache des Problems ist, dass einige Anwendungen ein bei der Anmeldung am Google-Server erhaltenes Authentifizierungs-Token (AutheToken) später im Klartext senden. In unverschlüsselten WLANs oder solchen, bei denen alle Anwender den gleichen Schlüssel benutzen, kann ein Angreifer das Token mit Wireshark mitlesen und für eigene Zwecke verwenden, wie Forscher der Uni Ulm berichten.
Zwar können Neugierige in offenen WLANs die übertragenen Daten von Apps schon länger mitlesen, mit dem Token ist jedoch Zugriff über die Google-API im Kontext des Anwenders möglich. Doch das Problem ist nicht nur auf Google Apps auf Smartphones beschränkt, sondern betrifft alle Android- sowie Desktop-Anwendungen, die das ClientLogin-Protokoll über HTTP statt HTTPS verwenden. Nach Angaben der Forscher gilt dies etwa auch für Thunderbird-Plug-ins auf dem PC zum Zugriff auf den Google Calendar, wenn diese nicht richtig konfiguriert sind.
In Android 2.3.4 und 3 hat Google die Synchronisierungzugriffe für den Kalender und die Kontakte auf HTTPS umgestellt, für die ab 2.3.3 verfügbare Picasa-App jedoch noch nicht. Das Android-Team und der Entwickler der App sollen jedoch daran bereits arbeiten. Den anderen Herstellern von Apps empfehlen die Ulmener Forscher, für das ClientLogin-Protokoll durchgehend HTTPS zu verwenden oder auf das sicherere OAuth zu wechseln.
Zwar lasst sich das Sicherheitsproblem größtenteils durch ein Update auf eine neuere Android-Version lösen. Für viele Geräte steht ein Upgrade jedoch noch nicht bereit. Die verwundbaren Version 2.1 und 2.2 sind schätzungsweise auf 90 Prozent der Geräte installiert. Anwender können zum Schutz die "Automatische Synchronisierung" abschalten, um einen ungewollten Datenabgleich und die Übertragung des Tokens beim Verbinden mit offenen Funknetzen zu verhindern. (dab)
