News 17.05.2011, 11:50 Uhr

Sicherheitslücke in Android nachgewiesen

Forscher der Uni Ulm haben eine Sicherheitslücke nachgewiesen, mit der man über eine ungesicherte WLAN-Verbindung Daten von Android-Geräten abfangen kann.
Die Sicherheitslücke ist im Authentifizierungsprotokoll ClientLogin zu finden, wie die Forscher der Uni Ulm herausgefunden haben. Dieses weise Schwachstellen auf, die es Hackern theoretisch ermöglichen, über WLAN private Daten vom Google-Kalender oder den gespeicherten Kontakten abzufangen. Betroffen sind alle Android-Versionen bis 2.3.3. Erst mit der aktuellsten Version 2.3.4 wurde die Sicherheitslücke offenbar geschlossen, diese ist jedoch erst für sehr wenige Geräte erhältlich. Gemäss der Studie sind somit 99,7 Prozent aller Android-Nutzer momentan von der Sicherheitslücke betroffen.
Allerdings: Der Hack funktioniert nur, wenn man sich in einem ungesicherten WLAN-Netz befindet. Dann ist es möglich, die erwähnten Daten während der Synchronisation abzufangen, da diese bis Version 2.3.3 über eine nicht gesicherte Http-Verbindung übertragen werden. Da auch die Sicherheitsschlüssel, die zur Authentifizierung einer Sitzung dienen, sogenannte Token, unverschlüsselt übertragen werden und eine sehr lange Gültigkeit haben, können diese abgehört werden und danach zum Abfangen der Daten genutzt werden.
Die Forscher warnen zudem, dass die Synchronisation von Googles Bildergalerie Picasa auch bei Android 2.3.4 noch nicht über eine sichere Https-Verbindung stattfindet.



Kommentare
Avatar
Preggy
17.05.2011
ehhhm... Korrigiert mich bitte, falls ich falsch liege, aber soweit ich weiss kann man von jedem Gerät in einem ungesicherten WLAN Daten abfangen... Wieso scheint Android also speziell betroffen zu sein?? Gruess Preggy

Avatar
Xpert
18.05.2011
zudem ist es ja nicht so, dass Daten via https Verbindungen nicht mitgeschnitten werden könnten...

Avatar
gads
18.05.2011
daumenhoch für android An solchen "negativ" Schlagzeilen sieht man wie gut Android ist. ;) Wenn das die einzige Sicherheitslücke ist (wäre) -> no problem.

Avatar
coceira
18.05.2011
ehhhm... Korrigiert mich bitte, falls ich falsch liege, aber soweit ich weiss kann man von jedem Gerät in einem ungesicherten WLAN Daten abfangen... Wieso scheint Android also speziell betroffen zu sein?? Gruess Preggy jap - bei einer unverschluesselten verbindung kann ich grundsaetzlich alles tracen und entziffern, egal ob das nun ein droid oder apfeldingsbums ist. Die redaktion ist entschuldigt damit, dass es sich ja hier um eine pc-zeitschrift und nicht um eine smartfone zeitung handelt. n.b. auch bei unverschluesselten pc-verbindungen, sei das per win,linux,apfelos kann ich selbstverstaendlich alles mitlesen, jederzeit demonstrierbar bzw. im netz mit den noetigen tools nachlesbar ;)

Avatar
X5-599
19.05.2011
Und wer A sagt, sollte auch B sagen: Alle Betriebssysteme betroffen, nicht nur Android Entgegen aller schnell recherchierten Zeitungsbeiträge muss man erkennen und auch wissen, das zahlreiche Dienste (und deren eigens programmierten Android Apps) wie Twitter und Facebook genau dieselbe Lücke aufweisen, und die Verbindung nicht verschlüsselt stattfindet. Egal mit welchem Gerätetyp die App verwendet wird. Somit stolpert jedes Smartphone und jedes andere Endgerät über diese “Lücke”, welches mit einem unverschlüsselten Dienst kommuniziert. Von daher geht Google mit Android sogar einen Schritt weiter und erzwingt ab der Gingerbread Version 3.3.4 eine SSL Verbindung, was ein Plus an Sicherheit gegenüber den Konkurrenten iOS & Co. ist. Mehr und der ganze Bericht auf Android-Schweiz.ch

Avatar
Hannes Weber
19.05.2011
http://www.pctipp.ch/news/sicherheit/56360/vermeintliche_android_sicherheitsluecke_relativiert.html