News

Smartphone-Betriebssystem Android:
Ulmer Medieninformatiker entdecken Sicherheitsleck

Ulm University

Medieninformatiker der Universität Ulm haben eine Sicherheitslücke im Smartphone-Betriebssystem „Android“  des Internetmoguls Google entdeckt:  Bei der Synchronisierung mit Google-Diensten wie Calender, Contacts, oder Picasa Web Albums überträgt das System Authentifizierungsdaten (authToken) unverschlüsselt über eine http-Verbindung. Dabei ist die gesicherte https-Verbindung bei der Übertragung sensibler Daten - etwa beim Onlinebanking - Standard. Verbindet sich ein derart ungesichertes Smartphone mit einem offenen WLAN Netz, können Datendiebe das authToken abgreifen und bis zu zwei Wochen  Adresslisten, Kalendereinträge sowie Bildergalerien des Handybesitzers  einsehen oder sogar manipulieren. Ein offenes WLAN Netz kann der Angreifer selbst einrichten und benennen. „Der Informationsklau funktioniert besonders gut, wenn der Netzwerkname einem bekannten Anbieter, also etwa T-Online, ähnelt“, schreiben die Medieninformatiker Bastian Könings, Florian Schaub und Jens Nickels auf ihrer Webseite. War das Smartphone schon einmal mit dem Original-Netz verbunden, würde es den Dienst „erkennen" und automatisch anwählen.
Betroffen sind alle älteren Android-Version, lediglich die jüngst erschienene Version 2.3.4 nutzt https-Verbindungen, Bildergalerien sind aber auch hier nicht geschützt.

Zuerst hatte Dan Wallach, Professor an der nordamerikanischen Rice University, in seinem Blog auf mögliche Sicherheitslecks bei Googles Handybetriebssystem hingewiesen. „Bei Jens Nickels Bachelorarbeit haben wir eine Sicherheitsanalyse des Betriebssystems Android durchgeführt. Wir nutzen das System selbst und waren über die Lücke entsetzt“, erklärten Könings und Schaub. Sie hätten Google bereits informiert. Auf ihrer Webseite geben die Wissenschaftlichen Mitarbeiter Nutzern Tipps zum sicheren Smartphone-Gebrauch. „Halten Sie sich in nächster Zeit von offenen WLAN Netzen fern“ ist wohl der praktikabelste Ratschlag.
Smartphone-Besitzern an der Uni Ulm empfehlen die Medieninformatiker das unverschlüsselte WLAN Netz "welcome" zu meiden und stattdessen "eduroam" zu nutzen.

Inzwischen hat Google die neueste, sicherere Version 2.3.4 auf alle Android-Handys gespielt. Auf Initiative der Ulmer Medieninformatiker ist die Sicherheitslücke also weitgehend gestopft.


Medienecho auf der Institutshomepage

Webseite von Bastian Könings, Florian Schaub und Jens Nickels (englisch)

 

Foto:Eberhardt/kiz