Android-Anwendungen

Google überträgt Daten angeblich unverschlüsselt

Googles Android-Anwendungen übertragen Daten unverschlüsselt, sagen Wissenschaftler der Universität Ulm. Angreifer können dadurch an Anmeldedaten gelangen, um vertrauliche Daten einzusehen, zu ändern oder zu löschen. Google reagiert nur halbherzig darauf.

Artikel veröffentlicht am ,
Android-Roboter
Android-Roboter (Bild: Google)

Der Kalender und das Adressbuch von Android überträgt Authentifizierungs-Token immer unverschlüsselt. Das gilt auch für die Android-Anwendung Picasa. Wer mit seinem Android-Smartphone ein unverschlüsseltes WLAN-Netzwerk verwendet, läuft Gefahr, dass seine Anmeldedaten ausspioniert werden, ähnlich wie bei einem Session-Cookie. Ein Angreifer kann dann vollen Zugriff auf alle bei Google hinterlegten Daten erhalten und diese nach Belieben einsehen, ändern oder löschen.

Stellenmarkt
  1. ERP - Systembetreuer (m/w/d) - Lean and Digitalisation
    igus GmbH, Köln
  2. Linux-Experte/C++ Entwickler (m/w/d)
    GTS Deutschland GmbH, München
Detailsuche

Als Ursache fanden Wissenschaftler aus dem Bereich Security und Privacy am Institut für Medieninformatik der Universität Ulm heraus, dass Googles Clientlogin ohne Verschlüsselung arbeitet. Dadurch können auch weitere Android-Anwendungen oder auch Desktopapplikationen von der Sicherheitsgefahr betroffen sein, wenn sie Googles Clientlogin nutzen. Standardmäßig wird darüber keine https-Verbindung, sondern nur eine unverschlüsselte http-Verbindung aufgebaut.

Softwareanbieter können ihre Applikationen so anpassen, dass sie Google Clientlogin immer über https-Protokoll nutzen, damit die Daten verschlüsselt übertragen werden. Für die Google-eigenen Anwendungen wie Kalender, Adressbuch und Picasa gibt es für die meisten Android-Smartphones keine Lösung.

Google reagiert nur halbherzig

Mit Android 2.3.4 werden zumindest Termine und Kontakte künftig verschlüsselt übertragen, erklärten die Wissenschaftler, die Google über die Sicherheitsgefahr informiert hatten. Als Google Android 2.3.4 Ende April 2011 für das Nexus S und das Nexus One veröffentlichte, gab es vom Unternehmen allerdings keine Informationen zu diesem Sicherheitsrisiko. Für weit über 96 Prozent aller verwendeten Android-Smartphones gibt es derzeit kein Update. Es kann noch Wochen und Monate dauern, bis mehr Android-Geräte ein Update auf Android 2.3.4 erhalten, weil die Hersteller von Android-Smartphones oftmals nur zögerlich aktuelle Android-Versionen bereitstellen.

Golem Karrierewelt
  1. DP-203 Data Engineering on Microsoft Azure: virtueller Vier-Tage-Workshop
    05.-08.12.2022, virtuell
  2. Deep Dive: Data Architecture mit Spark und Cloud Native: virtueller Ein-Tages-Workshop
    01.02.2023, Virtuell
Weitere IT-Trainings

Die Wissenschaftler der Universität Ulm kritisieren Google, weil die Anmeldung zu Picasa selbst mit Android 2.3.4 weiterhin unverschlüsselt erfolgt. In Android 3.x alias Honeycomb werden zumindest Termine und Adressen verschlüsselt übertragen. Ob Honeycomb auch Anmeldedaten von Picasa verschlüsselt, wissen die Wissenschaftler derzeit nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Bachsau 27. Mai 2011

Die spezifischen Passwörter sind ein fauler Kompromiss. Das wäre noch nachvollziehbar...

Dalai-Lama 19. Mai 2011

Das ist auch der große Grund von den Anti Apple Fanboys ^^ Das ist doch in der Jugend...

temolus 16. Mai 2011

Danke! In einem Satz: das Passwort wird schon verschlüsselt. Das daraufhin generierte, 14...



Aktuell auf der Startseite von Golem.de
Bayern
Arbeitszeit von mehr als 10 Stunden am Tag gefordert

Die bayerische Arbeitsministerin plädiert für mehr Flexibilität am Arbeitsplatz und will mehr als zehn Stunden Arbeit pro Tag erlauben.

Bayern: Arbeitszeit von mehr als 10 Stunden am Tag gefordert
Artikel
  1. 1.000 kWh: Elektrischer Autotransporter von Designwerk und Kässbohrer
    1.000 kWh
    Elektrischer Autotransporter von Designwerk und Kässbohrer

    Designwerk liefert in Kooperation mit Kässbohrer ab 2023 einen Autotransporter mit Elektroantrieb für den internationalen Markt aus.

  2. El-Ali-Meteorit: Forscher entdecken zwei neue Minerale in einem Meteoriten
    El-Ali-Meteorit
    Forscher entdecken zwei neue Minerale in einem Meteoriten

    In einer Probe aus einem in Somalia niedergegangenen Meteoriten wurden zwei Mineralien entdeckt, die auf der Erde so bisher nicht gefunden wurden.

  3. Recruiting: Personalauswahl mit KI kann Unternehmen schaden
    Recruiting
    Personalauswahl mit KI kann Unternehmen schaden

    Software ist objektiv und kennt keine Vorurteile, das macht Künstliche Intelligenz interessant für die Personalauswahl. Ist KI also besser als Personaler? Die Bewerber sind skeptisch und die Wissenschaft liefert keinen Beweis dafür.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Tiefstpreise: Crucial SSD 4TB 319€, Palit RTX 4080 1.499€, HTC Vive Pro 2 659€ • Alternate: Team Group SSD 512GB 29,99€, AOC Curved 27" 240 Hz 199,90€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ [Werbung]
    •  /