HOME

Sicherheitslücke bei Smartphones: Da klafft ein Loch im Android

Forscher der Universität Ulm haben eine Sicherheitslücke in Googles Handy-Betriebssystem nachgewiesen. Wer mit einem Android-Gerät in einem offenen Wlan unterwegs ist, riskiert einen Diebstahl persönlicher Daten. stern.de zeigt, wie der Angriff funktioniert und was Sie dagegen tun können.

Von Christoph Fröhlich

Forscher am Institut für Medieninformatik der Universität Ulm haben eine Sicherheitslücke in Googles Handy-Betriebssystem Android nachgewiesen. Dadurch wird es Fremden ermöglicht, alle eingespeicherten Kontakte und die Kalenderdaten von Nutzern zu stehlen, die sich in einem unverschlüsselten Wlan aufhalten. Betroffen sind alle Android-Nutzer bis Version 2.3.3 - das sind 99,7% aller Android-Smartphones und -Tablets.

Befindet sich der Nutzer in einem offenen Wlan - beispielsweise in einem öffentlichen Hot Spot - können Kriminelle sämtliche Daten mitlesen, die ein Benutzer seinem Handy-Kalender, seiner Kontaktliste oder dem Google-Fotodienst Picasa anvertraut. Beim Aufrufen der jeweiligen Anwendung werden bestimmte Authentifizierungsdateien wie der Google-Anmeldename und das Passwort verschlüsselt übertragen und in einem so genannten Token für die jeweilige App gespeichert. Dieses Token wird bei jeder Nutzung übertragen, um sich gegenüber Google zu legitimieren.

Kinderleichter Datenklau

Ein Angriff ist sehr einfach, meinen Bastian Könings, Jens Nickels und Florian Schaub, die Entdecker der Sicherheitslücke. Denn bis einschließlich Android 2.3.3 nutzen die auf dem Smartphone vorinstallierten Google Services zur Synchronisation von Kalender- und Konatktdaten keine Verschlüsselung. Das geschieht erst ab Android 2.3.4. Die Online-Fotogalerie Picasa, verschlüsselt auch unter Android 2.3.4 nicht, da sie von einem externen Unternehmen entwickelt wird. Auch google-fremde Apps wie das E-Mail-Programm Thunderbird, das seine Daten nach dem gleichen Prinzip synchronisiert, sind anfällig für den Datenklau.

Die Tokens sind über "maximal zwei Wochen unverändert", sagt Könings. Gelingt es einem Außenstehenden, eines der Tokens abzufangen, kann er anschließend beliebig die Kontaktliste, den Kalender oder die Picasa-Fotogalerien seines Opfers durchstöbern, Daten stehlen oder sie komplett bearbeiten. Theoretisch bis zu zwei Wochen lang. "Wir sind uns des Themas bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen", sagte Google Sprecher Kay Oberbeck der Deutschen Presseagentur.

Wie kann man sich vor dem Datenklau schützen?

Die Forscher der Universität Ulm empfehlen, möglichst schnell auf die Version 2.3.4 des Android-Betriebssystems zu updaten. Je nach Telefonanbieter kann das Update allerdings einige Wochen auf sich warten lassen. Prüfen Sie deshalb in regelmäßigen Abständen, ob ein Update zur Verfügung steht. Außerdem ist nicht jede Hardware für ein Update geeignet.

Generell wird empfohlen, offene Wlan-Netze zu meiden. Wer unbedingt einen öffentlichen Hot Spot am Bahnhof oder am Flughafen nutzen muss, sollte zuvor die automatische Synchronisierung in den Einstellungen abschalten.

Weiterhin sollten bereits eingespeicherte offene Wlan-Netze, mit denen sich das Handy bereits verbunden hat, gelöscht werden - dafür muss der Eintrag des offenen Wlans unter "Homescreen - Menü - Einstellungen - Drahtlos und Netzwerke - WLAN-Einstellungen" entfernt werden. Nur so kann eine automatische Netzverbindung ohne Rückfrage verhindert werden. Offene Netzwerke sind daran zu erkennen, dass kein Schlosssymbol neben ihrem Namen auftaucht.

Verzögerte Updates gefährden Sicherheit

Googles Android-Betriebssystem wird immer populärer: Mittlerweile werden pro Tag 400.000 Smartphones und Tablets mit diesem aktiviert, 100 Millionen Android-Geräte wurden bereits verkauft. Ein großer Kritikpunkt der Android-Systeme ist die lange Wartezeit auf Updates. Anwender müssen teilweise monatelang auf neue Versionen des Betriebssystems warten. Die Schuld daran trägt nicht allein Google: Auch namhafte Hersteller wie HTC und Samsung lassen sich oftmals lange Zeit, um die eigene Benutzeroberfläche an das Android-Update anzupassen. Immerhin hat Google vergangene Woche angekündigt, Updates künftig schneller auszuliefern.

Anfang Mai veröffentlichte Google neue Zahlen über die Verteilung der unterschiedlichen Versionen ihres Betriebssystems. Dabei wird analysiert, wie viele Geräte mit welcher Version sich innerhalb von 14 Tagen in Googles "Android Market" eingeloggt haben. Demnach läuft auf nahezu 80 Prozent der Android-Geräte die unsichere Version 2.1 oder 2.2. Allerdings sind die Daten bereits drei Wochen alt, und es bleibt offen, wie viele Nutzer seit Anfang Mai ihr Betriebssystem auf die sicheren Versionen 2.3.4 oder 3.0 geupdatet haben. Der Anteil dürfte allerdings eher gering sein.

Update, 19. Mai: Inzwischen hat Google angekündigt, in den kommenden Tagen die Schwachstelle bei allen Android-Versionen zu schließen. Die Softwareaktualisierung wird automatisch verteilt, der Nutzer muss nichts unternehmen.

Lesen Sie auch bei unserem Partner pcwelt.de: "Das kann der neue Android Market"

Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.