Seit gestern geistert durch alle Nachrichten immer wieder als Topmeldung, wie unsicher Android ist, und wie einfach es ist, an Passwörter heranzukommen. Alles typische, schlecht recherchierte Teilwahrheiten, die in Typischer „Flash-News“ Manier einfach unreflektiert vorgetragen werden und auch nicht hinterfragt. Typisch heutige Nachrichten, es wird kein bisschen erklärt, was, wann und unter welchen Umständen unsicher ist.
Die Fakten:
Die Googleapps Kalender, Kontakte und Picasa übertragen den Authentifizierungstoken im Klartext. Dies ist eine eindeutige und sehr große Sicherheitslücke, Passwörter sollten generell niemals im Klartext übertragen werden.
Wie kann man diese Lücke ausnutzen:
Der Anwender muss sich in einem Netzwerk befinden, was vom potentiellen Angreifer betrieben wird, damit er den Netzwerkverkehr mitlesen kann. Da fällt das Mobilfunknetz schon mal raus. Auch im eigenen WLAN herrscht keine Gefahr, vorausgesetzt, man benutzt eine sichere Verschlüsselung und niemand anderes ist im Netz.
Unsicher wird es in unbekannten oder öffentlichen WLAN Netzen, dort kann man mit einem Paketsniffer die Passphrasen mitlesen.
Welche Gefahr droht konkret?
Mit der Passphrase kann ein Angreifer in der jeweiligen Googleanwendung schaden anrichten. Mit dem Kalenderpasswort kann er im Kalender randalieren, er hat aber keinerlei Zugriff auf andere Anwendungen, wei z.B. GoogleMail.
Wie kann ich mich schützen?
Entweder keine öffentlichen WLANs nutzen, oder, bevor man sich zu solchen verbindet, die Synchronisierung der Apps ausschalten und diese Apps auch nicht benutzen. Meiner Meinung nach wird dieses Problem überbewertet, wer sich in einem offenem WLAN befindet, setzt sich ohnehin einem starken Risiko aus, wenn er sich irgendwo einloggt oder sensible Dienste benutzt. Dies sollte man grundsätzlich nur in einer sicheren Umgebung tun, also im eigenem, gesicherten WLAN oder über das Mobilfunknetz.
Ab Android 2.3.4 ist dieses Problem auch „nur“ noch in der Picasa-App anzutreffen, alle Anderen Apps übertragen den Authentifizierungscode verschlüsselt. Was mich übrigens wieder darauf bringt, dass die Hersteller es dem Benutzer nicht so schwer machen sollten, das Gerät zu rooten. Die Standardaussage, dass dies der Sicherheit des Anwenders dient, geht nämlich im Moment durch die mehr als unterdurchschnittliche Updatepolitik sämtlicher Android-Geräte-Hersteller gerade komplett nach hinten los. Sicher und mit den neuesten Patches sind im Moment nur die Nutzer von Custom ROMs mit den neuesten Versionen.
Empfohlen sei auch dieser Artikel hier auf Heise.de, der die Sicherheitsproblematik von Android ausführlich beleuchtet.
Der Anwender muss sich in einem Netzwerk befinden, was vom potentiellen Angreifer betrieben wird, damit er den Netzwerkverkehr mitlesen kann.
Das stimmt so nicht ganz. Der Angreifer muss das Netzwerk nicht betreiben, sondern sich lediglich im selben WLAN befinden. Das ist nicht nur bei öffentlichen WLANs der Fall. So ist z.B. ein Angriff durch Arbeitskollegen im Firmennetz denkbar.
Ein Angreifer kann auch ein eigenes, offenes WLAN mit einem häufig verwendeten Namen aufsetzen. Wenn auf dem Android-Gerät ein gleichnamiges Netz registriert ist, würde es sich automatisch verbinden und der Angreifer könnte Daten sammeln. Will er jemanden gezielt ausspionieren, muss er nur vor der Wohnung der Zielperson den Namen des heimischen WLAN ermitteln. Schon baut das Androidgerät eine Verbindung mit einem eigenen offenen WLAN gleichen Namens auf.
Meiner Meinung nach wird dieses Problem überbewertet, wer sich in einem offenem WLAN befindet, setzt sich ohnehin einem starken Risiko aus, wenn er sich irgendwo einloggt oder sensible Dienste benutzt. Dies sollte man grundsätzlich nur in einer sicheren Umgebung tun, also im eigenem, gesicherten WLAN oder über das Mobilfunknetz.
Ehrlich gesagt, die Berichte die ich in den Medien gelesen habe waren keine sinnlose Panikmache. Dass Google so eine offensichtliche Lücke in seinem System hat ist unfassbar. Seit Firesheep sollte die Problematik wirklich jedem bekannt sein, der sich ein bisschen Sicherheitsfragen befasst. Hier Google in Schutz zu nehmen wäre falsch. Das ist einfach eine Schlamperei.
Dem Durchschnittsanwender dürfte nicht klar sein, in welchen Netzen er sich sicher irgendwo einloggen kann und wo nicht. Das ist auch nicht notwendig. Es gibt SSL. Damit kann auch in offenen Netzen eine sichere Verbindung aufgebaut werden. Selbst ohne SSL ist eine sichere Authentifizierung möglich (siehe z.B. das SIP).
Ich finde es gut, dass diese Lücke in den Medien so breit getreten wird. Dadurch wird Google u.a. hoffentlich etwas sensibler für die Thematik Datensicherheit. Das ist wirklich noch eine Baustelle unter Android.
Ich kann z.B. meine Dropbox mit Truecrypt oder encfs verschlüsseln, aber die Daten dann nicht unter Android lesen. Ich kann in Thunderbird ein S/MIME-Zertifikat installieren – die verschlüsselten Mails jedoch dann nicht unter Android lesen. Also lasse ich es. Das ist wirklich Schade.
Wenigsten gehöre ich Dank Deiner Seite zu dem 1% die von der diskutierten Sicherheitslücke nicht betroffen sind: Gingervillian 2.2 🙂
Doch es ist eine übertriebene Panikmache, denn die Sicherheitslücke in offenen WLAN Netzwerken gilt ebenso für iOS oder Windows.
Da ich schon den ganzen Monat über 2.3.4 auf meinem Desire habe, kann ich ganz beruhigt sein. Vor allem, da sich mein Desire auch nicht selbstständig in öffentliche WLAN-Netzwerke einwählt. Die Sicherheitslücke ist also von Google offiziell schon fast geschlossen, die Verbreitung ist halt wie so oft das Problem bei Android. Allerdings gibt es dazu Neues:
In einem Pressestatement erklärt Kay Oberbeck, Leiter Unternehmenskommunikation Google Deutschland, Österreich, Schweiz: „Wir beginnen heute damit, eine potenzielle Sicherheitsschwachstelle zu schließen, die einem Dritten unter bestimmten Umständen Zugang zu Daten aus Kalender und Kontakten ermöglichte. Die Fehlerbehebung bedarf keiner aktiven Handlung durch die Nutzer und wird global über die nächsten Tage ausgeführt.“ Entscheidend ist dabei, das demnach alle potentiell betroffenen Android-Nutzer von dem Update profitieren sollen.
http://www.computerbase.de/news/consumer-electronics/kommunikation/smartphones/2011/mai/experten-entdecken-android-sicherheitsluecke/#update2
Auch interessant:
http://www.heise.de/newsticker/meldung/Android-Luecke-sorgt-fuer-Aufregung-1245307.html
http://winfuture.de/news,63266.html
man braucht ja kein ROM-Update, man muss ja nur die Google-App updaten
Google ist bereits im Begriff, den Fehler zu beheben und dies nicht nur für Nutzer von Gingerbread oder Honeycomb. (siehe z. B. hier: http://goo.gl/p3xBK)
Im übrigen stimme ich mit dir überein. Etwas weniger Hysterie und mehr Sachlichkeit tut immer gut. Es kann immer schlimmer kommen, ich könnte z. B. ein iPhone Nutzer sein. Bei dem Gedanken läuft es mir kalt den Rücken herunter.
Diese Art Berichterstattung kotzt einen nur noch an. Mit der angst der Leute versuchen sie kapital zu schlagen.
Danke fur den aufschlussreichen Artikel. Brain
Von welcher Picasa App ist hier eigentlich die Rede? Doch keine offizielle von Google? Hab nämlich schon länger im Market danach gesucht aber nichts gefunden. Oder gibts die mal wieder nicht für Deutschland?