News
17.05.2011, 11:50 Uhr
Sicherheitslücke in Android nachgewiesen
Forscher der Uni Ulm haben eine Sicherheitslücke nachgewiesen, mit der man über eine ungesicherte WLAN-Verbindung Daten von Android-Geräten abfangen kann.
Die Sicherheitslücke ist im Authentifizierungsprotokoll ClientLogin zu finden, wie die Forscher der Uni Ulm herausgefunden haben. Dieses weise Schwachstellen auf, die es Hackern theoretisch ermöglichen, über WLAN private Daten vom Google-Kalender oder den gespeicherten Kontakten abzufangen. Betroffen sind alle Android-Versionen bis 2.3.3. Erst mit der aktuellsten Version 2.3.4 wurde die Sicherheitslücke offenbar geschlossen, diese ist jedoch erst für sehr wenige Geräte erhältlich. Gemäss der Studie sind somit 99,7 Prozent aller Android-Nutzer momentan von der Sicherheitslücke betroffen.
Allerdings: Der Hack funktioniert nur, wenn man sich in einem ungesicherten WLAN-Netz befindet. Dann ist es möglich, die erwähnten Daten während der Synchronisation abzufangen, da diese bis Version 2.3.3 über eine nicht gesicherte Http-Verbindung übertragen werden. Da auch die Sicherheitsschlüssel, die zur Authentifizierung einer Sitzung dienen, sogenannte Token, unverschlüsselt übertragen werden und eine sehr lange Gültigkeit haben, können diese abgehört werden und danach zum Abfangen der Daten genutzt werden.
Die Forscher warnen zudem, dass die Synchronisation von Googles Bildergalerie Picasa auch bei Android 2.3.4 noch nicht über eine sichere Https-Verbindung stattfindet.
17.05.2011
18.05.2011
18.05.2011
18.05.2011
19.05.2011
19.05.2011