Update

Google will Sicherheitslücke bei Android schließen

18.05.2011
Die Sicherheitslücke im Smartphone-Betriebssystem Android, die derzeit für Aufregung sorgt, wird von Google geschlossen.
Googles "Nexus"-Phones arbeiten mit Android pur und erhalten System-Updates daher umgehend.
Googles "Nexus"-Phones arbeiten mit Android pur und erhalten System-Updates daher umgehend.
Foto: Google

Ulmer Forscher hatten darauf aufmerksam gemacht, dass in ungeschützten WLAN-Netzen Angreifer auf Google-Kontakte und -Kalender eines Nutzers sowie sein Konto beim Fotodienst Picasa zugreifen könnten. "Wir sind uns des Themas bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen", sagte Google-Sprecher Kay Oberbeck der dpa am Mittwoch. Bisher dürfte aber nur eine Minderheit der Nutzer die neuen Android-Varianten haben.

Kern des Problems ist, dass Identifizierungsschlüssel für die Dienste unter Umständen von Angreifern abgefangen werden können. Von der Sicherheitslücke sind die älteren Android-Versionen bis 2.3.3 betroffen, die nach Angaben der Forscher am Institut für Medieninformatik der Universität Ulm derzeit noch 99,7 Prozent aller Android-Geräte ausmachen.

Die Experten kritisierten in einem bereits vergangene Woche veröffentlichten Papier, dass die drei Google-Dienste bei Android sogenannte ID-Token unverschlüsselt senden. Ist auch die Verbindung zu einem WLAN-Netzwerk ungeschützt, habe ein Angreifer damit leichtes Spiel. Sicherheitsexperten warnen allerdings generell stets davor, Daten in offenen WLAN-Netzen zu versenden. Das gilt nicht nur für Smartphones, sondern auch für herkömmliche Personal Computer.

Zugleich ist die unverschlüsselte Verbindung zu Webdiensten ein bekanntes Problem. Große Sorge gab es vor einigen Monaten, als Sicherheitsexperten demonstrierten, wie leicht etwa Facebook- oder Twitter-Sitzungen gekapert werden können, wenn ein Angreifer die unverschlüsselt gesendeten Verbindungsinformationen abfängt. Die Dienste bieten inzwischen die verschlüsselte Verbindung über das Protokoll HTTPS an. Auch die betroffenen Google-Apps greifen in den neueren Android-Versionen 2.3.4. und 3.0 zumindest für die Kalender und Kontakte laut den Ulmer Forschern zu SSL.

Diese neuen Android-Varianten dürften allerdings bisher noch wenig verbreitet sein. Laut Angaben auf einer Android-Entwicklerwebsite von Anfang Mai lief auf fast zwei Dritteln der Geräte noch Android 2.2 und auf einem Viertel noch 2.1, die Vorgänger-Version. Auf die Tablet-Ausführung Android 3.0 "Honeycomb" entfielen damals nur 0,3 Prozent. Google lädt neue Versionen permanent schrittweise auf die Geräte der Nutzer, wird dabei allerdings von den Oberflächenanpassungen der Gerätehersteller und dem Testing der Netzbetreiber oft ausgebremst. Nur "pure" Android-Devices wie das Nexus One und Nexus S bekommen die Systemupdates umgehend, sobald diese von Google freigegeben sind.

Android übernahm zuletzt die Führung im Smartphone-Markt vom langjährigen Spitzenreiter, Nokias Betriebssystem Symbian. Marktbeobachter gehen auch davon aus, dass die Google-Plattform in den kommenden Jahren zur stärksten Kraft im gesamten Handy-Markt werden wird. Daher werden mögliche Sicherheitslücken besonders aufmerksam verfolgt. Als ein Risiko wird unter anderem kritisiert, dass Entwickler ihre Apps ohne vorherige Prüfung anbieten können. Im März wurden einige Dutzend Programme aus dem Android Market entfernt, weil sie darauf ausgelegt waren, Nutzer-Informationen abzugreifen.

Die Ulmer Experten probierten den Angriff nur mit den Kontakt- und Kalender-Diensten von Google aus. Theoretisch sei er aber mit allen Google-Diensten möglich, die das Authentifizierungsprotokoll ClientLogin nutzen. Dabei wird ein bis zu zwei Wochen gültiger ID-Schlüssel ausgestellt, damit eine App auf Daten zugreifen kann. Wird ein solcher Schlüssel über eine ungeschützte Verbindung abgefangen, kann sich ein Angreifer damit bei dem Dienst für den rechtmäßigen Nutzer ausgeben. Er hätte damit vollen Zugriff auf die Informationen oder Picasa-Bilder, da die Token nicht an eine aktuelle Sitzung oder ein bestimmtes Gerät gebunden seien, betonten die Forscher. Auch Android-Apps für Facebook oder Twitter hätten in den Tests Informationen unverschlüsselt gesendet. (dpa/tc)