HOME

Sicherheitslücke bei Smartphones: Da klafft ein Loch im Android

Forscher der Universität Ulm haben eine Sicherheitslücke in Googles Handy-Betriebssystem nachgewiesen. Wer mit einem Android-Gerät in einem offenen Wlan unterwegs ist, riskiert einen Diebstahl persönlicher Daten. stern.de zeigt, wie der Angriff funktioniert und was Sie dagegen tun können.

Von Christoph Fröhlich

Forscher am Institut für Medieninformatik der Universität Ulm haben eine Sicherheitslücke in Googles Handy-Betriebssystem Android nachgewiesen. Dadurch wird es Fremden ermöglicht, alle eingespeicherten Kontakte und die Kalenderdaten von Nutzern zu stehlen, die sich in einem unverschlüsselten Wlan aufhalten. Betroffen sind alle Android-Nutzer bis Version 2.3.3 - das sind 99,7% aller Android-Smartphones und -Tablets.

Befindet sich der Nutzer in einem offenen Wlan - beispielsweise in einem öffentlichen Hot Spot - können Kriminelle sämtliche Daten mitlesen, die ein Benutzer seinem Handy-Kalender, seiner Kontaktliste oder dem Google-Fotodienst Picasa anvertraut. Beim Aufrufen der jeweiligen Anwendung werden bestimmte Authentifizierungsdateien wie der Google-Anmeldename und das Passwort verschlüsselt übertragen und in einem so genannten Token für die jeweilige App gespeichert. Dieses Token wird bei jeder Nutzung übertragen, um sich gegenüber Google zu legitimieren.

Kinderleichter Datenklau

Ein Angriff ist sehr einfach, meinen Bastian Könings, Jens Nickels und Florian Schaub, die Entdecker der Sicherheitslücke. Denn bis einschließlich Android 2.3.3 nutzen die auf dem Smartphone vorinstallierten Google Services zur Synchronisation von Kalender- und Konatktdaten keine Verschlüsselung. Das geschieht erst ab Android 2.3.4. Die Online-Fotogalerie Picasa, verschlüsselt auch unter Android 2.3.4 nicht, da sie von einem externen Unternehmen entwickelt wird. Auch google-fremde Apps wie das E-Mail-Programm Thunderbird, das seine Daten nach dem gleichen Prinzip synchronisiert, sind anfällig für den Datenklau.

Die Tokens sind über "maximal zwei Wochen unverändert", sagt Könings. Gelingt es einem Außenstehenden, eines der Tokens abzufangen, kann er anschließend beliebig die Kontaktliste, den Kalender oder die Picasa-Fotogalerien seines Opfers durchstöbern, Daten stehlen oder sie komplett bearbeiten. Theoretisch bis zu zwei Wochen lang. "Wir sind uns des Themas bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen", sagte Google Sprecher Kay Oberbeck der Deutschen Presseagentur.

Wie kann man sich vor dem Datenklau schützen?

Die Forscher der Universität Ulm empfehlen, möglichst schnell auf die Version 2.3.4 des Android-Betriebssystems zu updaten. Je nach Telefonanbieter kann das Update allerdings einige Wochen auf sich warten lassen. Prüfen Sie deshalb in regelmäßigen Abständen, ob ein Update zur Verfügung steht. Außerdem ist nicht jede Hardware für ein Update geeignet.

Generell wird empfohlen, offene Wlan-Netze zu meiden. Wer unbedingt einen öffentlichen Hot Spot am Bahnhof oder am Flughafen nutzen muss, sollte zuvor die automatische Synchronisierung in den Einstellungen abschalten.

Weiterhin sollten bereits eingespeicherte offene Wlan-Netze, mit denen sich das Handy bereits verbunden hat, gelöscht werden - dafür muss der Eintrag des offenen Wlans unter "Homescreen - Menü - Einstellungen - Drahtlos und Netzwerke - WLAN-Einstellungen" entfernt werden. Nur so kann eine automatische Netzverbindung ohne Rückfrage verhindert werden. Offene Netzwerke sind daran zu erkennen, dass kein Schlosssymbol neben ihrem Namen auftaucht.

Verzögerte Updates gefährden Sicherheit

Googles Android-Betriebssystem wird immer populärer: Mittlerweile werden pro Tag 400.000 Smartphones und Tablets mit diesem aktiviert, 100 Millionen Android-Geräte wurden bereits verkauft. Ein großer Kritikpunkt der Android-Systeme ist die lange Wartezeit auf Updates. Anwender müssen teilweise monatelang auf neue Versionen des Betriebssystems warten. Die Schuld daran trägt nicht allein Google: Auch namhafte Hersteller wie HTC und Samsung lassen sich oftmals lange Zeit, um die eigene Benutzeroberfläche an das Android-Update anzupassen. Immerhin hat Google vergangene Woche angekündigt, Updates künftig schneller auszuliefern.

Anfang Mai veröffentlichte Google neue Zahlen über die Verteilung der unterschiedlichen Versionen ihres Betriebssystems. Dabei wird analysiert, wie viele Geräte mit welcher Version sich innerhalb von 14 Tagen in Googles "Android Market" eingeloggt haben. Demnach läuft auf nahezu 80 Prozent der Android-Geräte die unsichere Version 2.1 oder 2.2. Allerdings sind die Daten bereits drei Wochen alt, und es bleibt offen, wie viele Nutzer seit Anfang Mai ihr Betriebssystem auf die sicheren Versionen 2.3.4 oder 3.0 geupdatet haben. Der Anteil dürfte allerdings eher gering sein.

Update, 19. Mai: Inzwischen hat Google angekündigt, in den kommenden Tagen die Schwachstelle bei allen Android-Versionen zu schließen. Die Softwareaktualisierung wird automatisch verteilt, der Nutzer muss nichts unternehmen.

Lesen Sie auch bei unserem Partner pcwelt.de: "Das kann der neue Android Market"