MACNOTES

Veröffentlicht am  18.05.11, 14:31 Uhr von  

Android: Fast alle Smartphones anfällig für Schnüffelattacke

AndroidEine Schwachstelle bei den Google-Diensten bereitet derzeit Android-Anwendern Kopfzerbrechen. Die automatische Synchronisierung mit Google könnte unter bestimmten Umständen mit ausreichend krimineller Energie unangenehm für Anwender werden.

Forscher an der Uni Ulm haben eine Schwachstelle in den Google-Diensten gefunden, die es unter gewissen Umständen einem Angreifer ermöglicht, die Daten eines Google-Accounts einzusehen und zu manipulieren. Von dieser Schwachstelle seinen momentan fast alle Android-Anwender betroffen, heißt es.

Ein Android-Smartphone oder Tablet ist normalerweise dazu angehalten, Verbindung mit dem Google-Server aufzubauen und die Daten zu synchronisieren. Dabei wird über eine verschlüsselte HTTPS-Verbindung Benutzername und Passwort gesendet und als Antwort folgt ein authToken – eine Zeichenkette, die unter normalen Umständen nur das Smartphone und der Server kennen und das Login ersetzen. Dieser authToken ist bis zu zwei Wochen gültig und wird in Android-Versionen unter 2.3.4 bzw. 3.0 für Tablets fortan unverschlüsselt über das Internet versendet.

Dies könnte ein Angreifer ausnutzen, indem er an einem öffentlichen Ort, beispielsweise ein Café, ein WLAN-Netzwerk eröffnet, das einen bekannten Namen trägt, etwa “Telekom”. Ein Android-Handy wäre dann dazu angehalten, sich in dieses Netzwerk einzuwählen (wenn der Anwender bereits in einem gleichnamigen eingeloggt war) und die Synchronisierung zu starten. Bei einem manipulierten Netzwerk mit Sniffer, wie beispielsweise dem Netzwerk-Debugger Wireshark, könnte der Angreifer den Datenstrom mitschneiden und auswerten. Dieser würde den authToken enthalten und damit könnte eine fremde Person bis zu zwei Wochen mithilfe der Google-API in den Kontakten, Terminen und E-Mails des Opfers herumdoktern.

Grundsätzlich sind davon nicht nur Android-Handys betroffen, sondern alle Geräte, die über diese Methode mit der Google-API kommunizieren möchten. Auch Laptops sind in der Regel so konfiguriert, dass sie zu bekannten WLAN-Stationen automatisch Verbindung aufnehmen. Das Problem liegt hier bei Google: Der authToken wird unverschlüsselt übertragen.

In Android 2.3.4 und 3.0 ist der Fehler bereits behoben, hier findet auch die nachfolgende Kommunikation verschlüsselt über HTTPS statt. Die meisten Anwender, geschätzt wird über 90%, haben diese Versionen aber nicht installiert und sind deshalb potenziell verwundbar.

Bis das Update verfügbar und installiert ist, sollten betroffene Benutzer am besten öffentliche WLAN-Stationen meiden und die automatische Synchronisierung deaktivieren, wenn doch eine Verbindung zu einem unverschlüsselten WiFi-Netz hergestellt wird.

 Und wie ist deine Meinung?  Schreib uns einfach!

 7 Kommentar(e) bisher

  •  @seo_schmied sagte am 18. Mai 2011:

    RT @Macnotes: Android: Fast alle Smartphones anfällig für Schnüffelattacke http://macnot.es/62030

    Antworten 
  •  @wwwler sagte am 18. Mai 2011:

    RT @Macnotes: Android: Fast alle Smartphones anfällig für Schnüffelattacke http://macnot.es/62030

    Antworten 
  •  @alexsporn sagte am 18. Mai 2011:

    RT @Macnotes: Android: Fast alle Smartphones anfällig für Schnüffelattacke http://macnot.es/62030

    Antworten 
  •  @seilers sagte am 18. Mai 2011:

    RT @Macnotes: Android: Fast alle Smartphones anfällig für Schnüffelattacke http://macnot.es/62030

    Antworten 
  •  Steffen sagte am 18. Mai 2011:

    Direkt wieder Android Hetze. Lest euch mal den Artikel hier durch. Fachlich korrekt recherchiert und nicht wieder direkt auf die Android Plattform eingehackt.

    http://www.winfuture.de/news,63266.html

    Antworten 
  •  @superglide sagte am 18. Mai 2011:

    RT @Macnotes: Android: Fast alle Smartphones anfällig für Schnüffelattacke http://macnot.es/62030

    Antworten 
  •  Markus sagte am 18. Mai 2011:

    Wo ist das eine Android Hetze? Es steht drin, dass gängige Android-Versionen verwundbar sind und was man im Zweifel tun könnte, um dem Risiko aus dem Weg zu gehen. Ebenfalls, dass das Problem nicht bei Android, sondern bei Google liegt (und Android nur zufällig Opfer dessen wurde, dass serverseitig kein HTTPS erzwungen wird).
    Das Ding ist aber, dass andere Geräte nicht sofort syncen wollen, vor allem nicht mit Google. Aber auch das steht im Artikel und groß was anderes hat WF ebenfalls nicht geschrieben.

    Antworten 

Kommentar verfassen

 0  Tweets und Re-Tweets
       0  Likes auf Facebook
         0  Trackbacks/Pingbacks
          Werbung
          © 2006-2013 MACNOTES.DE. Made with insanely great for all things Mac. Apple.de