Google will Android-Lücke so schnell wie möglich schließen
Ein Fix soll verhindern, dass Google Calendar und Contacts weiter Daten verraten. Die Nutzer sollen nicht selbst aktiv werden müssen. Offenbar will Google bei der Synchronisierung künftig eine verschlüsselte Kommunikation erzwingen.
- Daniel Bachfeld
Google hat nach eigenen Angaben damit begonnen, "die potenzielle Sicherheitsschwachstelle zu schließen, die einem Dritten unter bestimmten Umständen Zugang zu Daten aus Kalender und Kontakten ermöglichte". Die Fehlerbehebung werde global über die nächsten Tage ausgeführt, so Google-Sprecher Kay Oberbeck laut einer Mitteilung. Die Nutzer müssten nicht aktiv handeln, damit die Sicherheitslücke geschlossen wird.
Der Internetdienstleister machte jedoch keine konkreten Angaben, wie er das Problem lösen will. US-Medien zufolge will Google wohl seine Server so konfigurieren, dass bei der Synchronisierung der Kalender und der Kontakte eine verschlüsselte Kommunikation via HTTPS erzwungen wird.
Bei der Picasa-App soll das nicht funktionieren; dort arbeitet Google noch an einer Lösung. Auch in Android selbst hat Google das Picasa-Problem offenbar noch nicht behoben. Auch in Version 2.3.4, in der Google Calendar und Contacts bereits nicht mehr unverschlüsselt synchronisieren, sendet die Picasa-App das Authentifizierungstoken weiter im Klartext.
Forscher der Uni Ulm hatte eine Schwachstelle in der Datenübertragung von Android entdeckt, die Angreifer ausnutzen können, um unbefugt Inhalte von Google Calendar, Picasa-Gallerien und Google Contact anderer Anwender zu manipulieren. Ursache des Problems ist, dass einige Anwendungen ein bei der Anmeldung am Google-Server erhaltenes AuthentifizierungsToken (AutheToken) später im Klartext senden. In unverschlüsselten WLANs oder solchen, bei denen alle Anwender den gleichen Schlüssel benutzen, kann ein Angreifer das Token mit Wireshark mitlesen und für eigene Zwecke verwenden. (dab)
