Abo
  • Services:

Android-Anwendungen

Google überträgt Daten angeblich unverschlüsselt

Googles Android-Anwendungen übertragen Daten unverschlüsselt, sagen Wissenschaftler der Universität Ulm. Angreifer können dadurch an Anmeldedaten gelangen, um vertrauliche Daten einzusehen, zu ändern oder zu löschen. Google reagiert nur halbherzig darauf.

Artikel veröffentlicht am ,
Android-Roboter
Android-Roboter (Bild: Google)

Der Kalender und das Adressbuch von Android überträgt Authentifizierungs-Token immer unverschlüsselt. Das gilt auch für die Android-Anwendung Picasa. Wer mit seinem Android-Smartphone ein unverschlüsseltes WLAN-Netzwerk verwendet, läuft Gefahr, dass seine Anmeldedaten ausspioniert werden, ähnlich wie bei einem Session-Cookie. Ein Angreifer kann dann vollen Zugriff auf alle bei Google hinterlegten Daten erhalten und diese nach Belieben einsehen, ändern oder löschen.

Stellenmarkt
  1. symmedia GmbH, Bielefeld
  2. SoftProject GmbH, Ettlingen

Als Ursache fanden Wissenschaftler aus dem Bereich Security und Privacy am Institut für Medieninformatik der Universität Ulm heraus, dass Googles Clientlogin ohne Verschlüsselung arbeitet. Dadurch können auch weitere Android-Anwendungen oder auch Desktopapplikationen von der Sicherheitsgefahr betroffen sein, wenn sie Googles Clientlogin nutzen. Standardmäßig wird darüber keine https-Verbindung, sondern nur eine unverschlüsselte http-Verbindung aufgebaut.

Softwareanbieter können ihre Applikationen so anpassen, dass sie Google Clientlogin immer über https-Protokoll nutzen, damit die Daten verschlüsselt übertragen werden. Für die Google-eigenen Anwendungen wie Kalender, Adressbuch und Picasa gibt es für die meisten Android-Smartphones keine Lösung.

Google reagiert nur halbherzig

Mit Android 2.3.4 werden zumindest Termine und Kontakte künftig verschlüsselt übertragen, erklärten die Wissenschaftler, die Google über die Sicherheitsgefahr informiert hatten. Als Google Android 2.3.4 Ende April 2011 für das Nexus S und das Nexus One veröffentlichte, gab es vom Unternehmen allerdings keine Informationen zu diesem Sicherheitsrisiko. Für weit über 96 Prozent aller verwendeten Android-Smartphones gibt es derzeit kein Update. Es kann noch Wochen und Monate dauern, bis mehr Android-Geräte ein Update auf Android 2.3.4 erhalten, weil die Hersteller von Android-Smartphones oftmals nur zögerlich aktuelle Android-Versionen bereitstellen.

Die Wissenschaftler der Universität Ulm kritisieren Google, weil die Anmeldung zu Picasa selbst mit Android 2.3.4 weiterhin unverschlüsselt erfolgt. In Android 3.x alias Honeycomb werden zumindest Termine und Adressen verschlüsselt übertragen. Ob Honeycomb auch Anmeldedaten von Picasa verschlüsselt, wissen die Wissenschaftler derzeit nicht.



Anzeige
Blu-ray-Angebote
  1. über ARD Mediathek kostenlos streamen
  2. 4,99€
  3. 9,99€

Bachsau 27. Mai 2011

Die spezifischen Passwörter sind ein fauler Kompromiss. Das wäre noch nachvollziehbar...

Dalai-Lama 19. Mai 2011

Das ist auch der große Grund von den Anti Apple Fanboys ^^ Das ist doch in der Jugend...

temolus 16. Mai 2011

Danke! In einem Satz: das Passwort wird schon verschlüsselt. Das daraufhin generierte, 14...


Folgen Sie uns
       


Nokia 7 Plus - Fazit

Das Nokia 7 Plus ist HMD Globals neues Smartphone der gehobenen Mittelklasse. Das Gerät überzeugt im Test von Golem.de durch eine gute Dualkamera, einen flotten Prozessor und Android One - was schnelle Updates durch Google verspricht.

Nokia 7 Plus - Fazit Video aufrufen
Recycling: Die Plastikwaschmaschine
Recycling
Die Plastikwaschmaschine

Seit Kurzem importiert China kaum noch Müll aus dem Ausland. Damit hat Deutschland ein Problem. Wohin mit all dem Kunststoffabfall? Michael Hofmann will die Lösung kennen: Er bietet eine Technologie an, die den Abfall in Wertstoff verwandelt.
Ein Bericht von Daniel Hautmann


    Xbox Adaptive Controller ausprobiert: 19 x Klinke, 1 x Controller, 0 x Probleme
    Xbox Adaptive Controller ausprobiert
    19 x Klinke, 1 x Controller, 0 x Probleme

    Microsoft steigt in den Markt der zugänglichen Geräte ein. Der Xbox Adaptive Controller ermöglicht es Menschen mit temporärer oder dauerhafter Bewegungseinschränkung zu spielen, ohne enorm viel Geld auszugeben. Wir haben es auf dem Microsoft Campus in Redmond ausprobiert.
    Von Andreas Sebayang

    1. Firmware Xbox One erhält Option für 120-Hz-Bildfrequenz
    2. AMD Freesync Xbox One erhält variable Bildraten
    3. Xbox One Streamer können Gamepad mit Spieler teilen

    Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
    Kryptographie
    Der Debian-Bug im OpenSSL-Zufallszahlengenerator

    Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
    Von Hanno Böck


        •  /