Drucken
18.05.2011, 09:54 Uhr | Andreas Lerg
Android-Maskottchen: Katastrophale Lücke Googles Handy-Betriebssystem (Foto: dpa). (Quelle: dpa)
In Googles Smartphone-Betriebssystem Android klafft ein riesiges Sicherheitsleck: Kinderleicht können über einen offene WLAN-Hotspot die Kontakt- und Kalendereinträge aber auch Fotos und andere Daten abgegriffen werden. Das entdeckten Sicherheitsforscher der Universität Ulm. Ein Gegenmittel gibt es bisher noch nicht, Google verspricht jedoch, schnellstmöglich ein Update anzubieten.
Nutzt der Besitzer eines Android-Smartphones einen offenen WLAN-Hotspot, dann können Fremde problemlos Kontakt- und Kalenderdaten der Nutzer ausspähen, Fotos aus der Fotosammlung und sogar Authentifizierungsdateien – sogenannte Tokens – stehlen. Wie Spiegel Online berichtet sind von dem massiven Sicherheitsleck 99 Prozent aller Android-Nutzer betroffen.
Bastian Königs von der Universität Ulm erklärte gegenüber Spiegel Online, dass der Angriff sehr einfach ist: "Dafür muss man noch nicht einmal studiert haben. Das ist von Google sehr gut dokumentiert.“ Der Angriff ist deshalb so simpel, weil Google beim Login für seine eigenen Dienste auf eine gesicherte Online-Verbindung per https verzichtet. Statt dessen wird nur eine unverschlüsselte und damit unsichere Verbindung hergestellt, die dann ein Angreifer ausnutzen kann. Anfällig sind daher zunächst einmal alle von Google selbst zur Verfügung gestellten Apps auf einem Smartphone mit Android bis Version 2.3.3. Dazu gehört auch die Fotoverwaltung Picasa. Aber auch die Apps von Drittanbietern sind betroffen. Beispielsweise das beliebte Mail-Programm Thunderbird, dass Daten mit dem Google Calendar austauscht.
Königs hat Google die Sicherheitslücke schon vor einiger Zeit gemeldet. Der Konzern will das Problem prüfen und mit einem Update für Android 2.3.4 beheben. In der bisherigen Version von 2.3.4 wird nur für Kontakte und Kalender, nicht aber für Picasa eine sichere Verbindung über das verschlüsselte Internet-Protokoll https genutzt. Daher bleibt Android 2.3.4 weiter anfällig. Da Version 2.3.4 erst seit Anfang Mai verfügbar ist, dürften die meisten Android-Nutzer noch mit Vorgängerversionen arbeiten. Der Suchmaschinenkonzern gibt bisher weder eine offizielle Stellungnahme zu der Sicherheitslücke ab, noch informiert Google, wann mit dem Sicherheits-Update zu rechnen ist. Aufatmen können die Käufer von Tablet-Computern mit Android: Die auf diese Geräte zugeschnittene Version 3.0 weist die Sicherheitslücke nicht auf. Hier werden immer sichere Verbindungen über https aufgebaut.
Die Experten der Universität Ulm raten Besitzern von Android Smartphones offene und damit unverschlüsselte WLAN-Hotspots nicht mehr zu nutzen, bis Google die Sicherheitslücke mit einem Update geschlossen hat. Dabei ist wichtig, dass die automatische Anmeldung in zuvor bereits genutzten WLAN-Hotspots verhindert wird. Dazu muss der Nutzer diese Hotspots aus der Liste der Netzwerke löschen. Auf jeden Fall sollte von Android 2.3.3 auf Version 2.3.4 aktualisiert werden, denn damit ist das Sicherheitsleck zumindest für die Kontakter und den Kalender gestopft. Das Problem dabei ist allerdings, dass Nutzer das Update gar nicht selbst anstoßen können. Nur die Hersteller des Smartphones können das Update ausliefern.
Was die neuen "Super-Handys" können und worauf es beim Kauf ankommt. zum Video
Ratgeber: Mehr zum Thema Android Sicherheit
Andreas Lerg
(24)
Graham Bell schrieb:
am 19. Mai 2011 um 08:50:49
(0) 
(0)
Lücke
Klasse, wann merkt ihr endlich, daß man ein Mobiltelefon auch zum telefonieren nutzen kann und nicht für den dämlichen
Schnickschnack. Dafür gibt es andere, bessere Möglichkeiten. Und! kaum einer ist sooooo wichtig, daß er immer und überall ins WWW muß oder permanent E-mails abrufen muß. Und nur weil man ein sauteures Gerät mit massig Funktionen sein eigen nennt, steigt weder der IQ, noch die soziale Kompetenz - eventuell kann man aber andere Dumpfbacken damit beeindrucken - wer's braucht. ROFL
mehr
Kommentar melden
Karsten K. schrieb:
am 18. Mai 2011 um 22:25:20
(0) (0)
Handy-TAN
Was soll an der Handy-TAN unsicherer sein gegenüber der Papier-TAN? Genau, nichts. Die TAN wird für genau den Zahlungsvorgang auf
dem Server der Bank generiert und dir per SMS zu gesendet. Und sie funktioniert NUR für diesen Vorgang (Zielkonto, Betrag), für den sie generiert wurde. Wenn ein Hacker die TAN abfangen würde, so würde sie ihm nichts nutzen, da er sie nicht für eine eigene Überweisung nutzen kann. Also?
mehr
Kommentar melden
SmartSirius schrieb:
am 18. Mai 2011 um 15:18:34
(0) (0)
@ Papier-TAN
Klingt zwar gut. Aber leider werden gerade alle PAPIER-TANS abgeschafft ;) Soll heißen: Bei mir ist jetzt Chip-Tan bzw. I-Tan
(Handy) Pflicht ;) Ich hab mich aber fürs Chiptan entschieden. Ist besser für mich und sicherer dazu, sofern man nicht bekloppt ist und in ner Mail eine Nummer eingibt :D Aber Papier-Tan - das war einmal. Diese Technik wirds bald gar nicht mehr geben, die meisten Banken haben seit Jahren keine Papier-Tan mehr!
mehr
Kommentar melden
Bitte füllen Sie alle Felder aus.
Sie sind der Meinung, dass dieser Kommentar anstößige Inhalte enthält.
Die neue Frühlingskollektion von Topmarken: tolle Schuhe, Mode u.v.m. - Versand gratis. mehr
Extravagante und schicke Damen-
mode für die neue Saison: jetzt online bestellen. von WENZ
Tolle Kurven perfekt in Szene gesetzt: zauberhafte Damenmode bis Größe 60. zum XXL-Special
Internet Explorer 9: Flotter Seiten- aufbau bei voller Sicherheit. mehr
Neues Oberklassen-Smartphone mit 4,7-Zoll-Display. zum Video
