Android: Fast alle Smartphones anfällig für Schnüffelattacke

Stefan Keller, den 18. Mai 2011

Eine Schwachstelle bei den Google-Diensten bereitet derzeit Android-Anwendern Kopfzerbrechen. Die automatische Synchronisierung mit Google könnte unter bestimmten Umständen mit ausreichend krimineller Energie unangenehm für Anwender werden.

Forscher an der Uni Ulm haben eine Schwachstelle in den Google-Diensten gefunden, die es unter gewissen Umständen einem Angreifer ermöglicht, die Daten eines Google-Accounts einzusehen und zu manipulieren. Von dieser Schwachstelle seinen momentan fast alle Android-Anwender betroffen, heißt es.

Ein Android-Smartphone oder Tablet ist normalerweise dazu angehalten, Verbindung mit dem Google-Server aufzubauen und die Daten zu synchronisieren. Dabei wird über eine verschlüsselte HTTPS-Verbindung Benutzername und Passwort gesendet und als Antwort folgt ein authToken – eine Zeichenkette, die unter normalen Umständen nur das Smartphone und der Server kennen und das Login ersetzen. Dieser authToken ist bis zu zwei Wochen gültig und wird in Android-Versionen unter 2.3.4 bzw. 3.0 für Tablets fortan unverschlüsselt über das Internet versendet.

Dies könnte ein Angreifer ausnutzen, indem er an einem öffentlichen Ort, beispielsweise ein Café, ein WLAN-Netzwerk eröffnet, das einen bekannten Namen trägt, etwa „Telekom“. Ein Android-Handy wäre dann dazu angehalten, sich in dieses Netzwerk einzuwählen (wenn der Anwender bereits in einem gleichnamigen eingeloggt war) und die Synchronisierung zu starten. Bei einem manipulierten Netzwerk mit Sniffer, wie beispielsweise dem Netzwerk-Debugger Wireshark, könnte der Angreifer den Datenstrom mitschneiden und auswerten. Dieser würde den authToken enthalten und damit könnte eine fremde Person bis zu zwei Wochen mithilfe der Google-API in den Kontakten, Terminen und E-Mails des Opfers herumdoktern.

Grundsätzlich sind davon nicht nur Android-Handys betroffen, sondern alle Geräte, die über diese Methode mit der Google-API kommunizieren möchten. Auch Laptops sind in der Regel so konfiguriert, dass sie zu bekannten WLAN-Stationen automatisch Verbindung aufnehmen. Das Problem liegt hier bei Google: Der authToken wird unverschlüsselt übertragen.

In Android 2.3.4 und 3.0 ist der Fehler bereits behoben, hier findet auch die nachfolgende Kommunikation verschlüsselt über HTTPS statt. Die meisten Anwender, geschätzt wird über 90%, haben diese Versionen aber nicht installiert und sind deshalb potenziell verwundbar.

Bis das Update verfügbar und installiert ist, sollten betroffene Benutzer am besten öffentliche WLAN-Stationen meiden und die automatische Synchronisierung deaktivieren, wenn doch eine Verbindung zu einem unverschlüsselten WiFi-Netz hergestellt wird.


Ähnliche Nachrichten

Passende Angebote