Wenn der Bericht von Spiegel nicht wieder nur, wie so viele Meldungen in der letzten Zeit zum Thema Datenschutz etc., aufgepauscht ist, hat das Google mobile OS ein riesen Datenleck.
Anscheinend sind deutsche Forscher aufgrund Erkenntnisse von Studien aus den USA auf die „erschreckende“ Erkenntnis gestossen, dass das Android OS erhebliche Mängel in Punkto Sicherheit hat.
Das Szenario in einfachen Worten erklärt (bitte korrigiert mich wenn ich irgendwas komplett falsch erklärt habe): sobald ihr euch mit euerem Android SmartPhone in ein öffentliches Netz wählt, welches von einem (sagen wir mal böswilligen Menschen) erstellt wird, hat dieser Zugriff auf all die Daten welche ihr über die Google Cloud synchronisiert. Wie macht er dies? Der „böswillige Mensch“ eröffnet ein öffentliches WLAN, welches er mit einem gängigen Namen, wie z.B. dem der bekannten grossen Kaffee-Ketten oder Flughafen-Lounges oder welchen auch immer vergibt und wartet ab, bis sich ein solcher Android nutzer einwählt. Sobald sich einer in diesem HotSpot anmeldet hat dieser Zugriff auf die Daten welche über den Google-Cloud Dienst gehen und kann sogar Authentifizierungsdateien (Tockens) abgreiffen.
Hier kurz ein Auschnitt aus Spiegel:
Diese Tokens bleiben über „maximal zwei Wochen“ unverändert, sagt Könings. Wer eins ergattert hat, könnte anschließend nach Belieben im Kalender, der Kontaktliste oder den Online-Fotogalerien seines Opfers herumgeistern, Daten herausholen oder hineinfüllen. Das wäre für geschäftliche Konkurrenten ebenso interessant wie für Stalker oder Kriminelle, die gerne wissen möchten, wann jemand sicher nicht zu Hause sein wird.
Jetzt ist die Frage ob dies wirklich ein solch grosses Problem ist (wie bei der in letzter Zeit bei den Medien so hochgepushten Themen rund um Dropbox, und iOS/Android, Amazon) oder auch vieles nur grosse Panikmache ist.
Manchmal denk ich dass da wirklich mehr dahinter steckt und irgendjemand mit viel Macht uns die geliebten Cloud-Dienste zu nichte machen möchte. Jetzt meine lieben Androiden Freunde seit ihr gefragt, ist es wirklich so einfach wie bei Spielgel beschrieben (oder bekommen jetzt dank dem grossen Wachstum das Android OS den ganzen Müll an „lausig recherchierten“ News bei Spiegel ab).
Dieses Problem soll übrigens bei 99% aller Android Systeme so gelten (nimmt mich wunder welches Modell, oder welche OS Version dies nicht hat und nur 1% ausmacht *g*).
(Via)
Es liegt einfach daran, das bis zu Android 2.3.4 und 3.0 die Dinge wie Kalender, Mail und Picasa nicht via HTTPS verschlüsselt sind, daher kann man die Dinge auch „einfach“ auslesen.
Wenn ich mich mit nem Windows Notebook in ein offenes WLAN einklinke, könnte man auch die Daten „einfach“ auslesen, welche über Webseiten gehen welche nicht per HTTPS verschlüsselt sind.
Natürlich hat Google gepennt und gerade bei Mail und Kalender hätte es schon eher die verschlüsselte Übertragung geben müssen, die Welle welche jetzt wieder geschoben wird, ist allerdings größer als sie wirklich ist.
Einfacher zu erklären geht es glaube nicht :D.
Damit ist mir auch klar wie sie auf die 99% kommen, 2.3.4/3.0 haben nun mal die wenigsten Geräte drauf.
Ich danke dir für die schnelle und kompetente Rückmeldung, vielen dank.
Zum letzteren hab ich mir gedacht, zur Zeit ist ja alles was in die Wolke geht irgendwie böse, angreifbar und vom teufel persönlich ins leben gerufen wenn man den Medien glauben schenken möchte.. (und ja Spiegel kennen wir iOS Nutzer ja nur zu gut – lange gelobt dann in den Boden gestampf und jetzt kommt anscheinend Android auch drunter *hmmm*)
Das würde ich eher als grundsätzliches Problem von offenen WLANs bezeichnen bzw. auch von ungeschlossenen. Mit den richtigen Tools kann man da jede unverschlüsselte HTTP Verbindung abgreifen (Auch wenn man mit dem iPad unverschlüsselt auf irgendwelchen Seiten einloggt) und das kann sogar ich, mit frei verfügbaren Firefox Plugins.
Das würde/müsste bedeuten, dass Google die HTTP Verbindung zu seinen Servern nicht verschlüsselt und das kann ich mir kaum vorstellen, da bei Google jeder noch so primitive Dienst verschlüsselt läuft.
Falls Google da nicht verschlüsselt: Sackschwach, dann ist es echt ein Problem (Was aber eigentlich einfach lösbar sein müsste). Falls Google verschlüsselt und man irgendwie anders Zugriff bekommen muss, braucht man evtl. schon etwas mehr Fachwissen um an die Daten ranzukommen.
Das mit den Token stimmt, ich dachte die seien sogar noch länger bzw. zum Teil „unendlich lange“ gültig. Aber ich hoffe mal die haben in Ihren Phones nirgendwo die letzteren Token verbaut.
So wie ich das verstehe gibt es also 2 Probleme: Einerseits die Lücke selbst, die es einem Angreifer ermöglichen, auf Daten wie Kontakte und Fotos zuzugreifen, und andererseits die unverschlüsselte Übertragung von Daten?
Letzteres dürfte wohl in näherer Zukunft wohl kaum ganz auszumerzen sein, wenn die Verantwortlichkeit wie beschrieben bei den App-Entwicklern liegt.
Betreffen Update-Prozess wäre es aber ein grosser Fortschritt, würde die Entwicklerkonferenz am Google I/O tatsächlich Früchte tragen (meine Lieblingsstelle: „Die Entwickler im Saal jubelten“^^).
ja an dieser Stelle musste ich auch Schmunzeln 🙂
Ich hoffe es stark für das Androide system dass es wirklich klappt mit diesen kurzen intervallen, aber noch mehr hoff ich dass auch die Geräte welche bis jetzt auf dem markt sind endlich mal updates bekommen, es muss nicht mal unbedingt ein jeder schinck, schnack, also jedes neue feature sein (da ja dies meist die Hardware gar nicht mitmachen würde) aber zumindest die ganzen sicherheits updates, welche mitlerweilen gefunden wurden und/oder auch durch diese lustigen Apps verursacht wurden.
Ich freu mich auf jedenfall auf die Zukunft es kann nur besser werden und das bringt mich auf eine Idee für einen weiteren Artikel 🙂
man sollte bedenken, dass von den 99% der betroffenen nicht 99% freie wlans aus vip-lounges von flughäfen oder bahnhöfen nutzen. wer freie wlans einfach so nutzt, ohne zu überlegen, ob er dem „netzbetreiber“ überhaupt trauen sollte, hat es vielleicht auch nicht anders verdient. selbst bei uns in der stadt an der uni sollte man das freie wlan nicht nutzen. sogar dort tummeln sich gesellen, die nur auf ahnungslose opfer warten.
dennoch ist es beunruhigend, dass es überhaupt eine solch krasse sicherheitslücke gibt.
Es ist tatsächlich so, dass man nicht jedem freien Netzwerk vertrauen soll, doch erkläre dies mal dem durchschnitt Bürger (soll jetzt nicht wertend gemeint sein) der vielleicht um zu sparen ein kleines Abo gewählt hat was die daten-Flat betrifft, und sich deshalb von freiem WLAN zu freiem WLAN bewegt (und glaub mir ich kenne genügend die das tun). Denen das zu vermitteln ist in etwa das selbe wie nicht in jedem P2P netz alles runterzuladen oder in mails die anhänge mit den kournikova (oder was kommen da heuzutage für welche mit) anzuklicken.
Ich sehe darin keine Sicherheitslücke. HTTP ist das Problem um es beim Namen zu nennen.
Stelle ich ein kleiner Server hinter mein Modem und logge alles durch, dann hat genauso gut jeder Windows- / MAC/ etc.. Rechner welcher sich auf eine HTTP Webseite einloggt ein Sicherheitsloch??
Klar muss Google auf HTTPS umstellen, doch mehr ist es auch nicht. Zudem, wer loggt sich schon in fremde offene WLANs ein?
Meine Antwort zu den freien WLANs kannst du oben dran lesen, gibt leider schon zu viele von diesen, und das sind meist die die gar keine ahnung von der ganzen Thematik haben, ihr Profis, bei euch ist mir das klar dass ihr das NIEmals machen würdet, aber beim normalen nutzer..
Aber eben, wie ich im Artikel auch geschrieben habe, es ist natürlich auch ein Problem der medien, welche einfach die einschaltquoten und leser brauchen und da müssen sie solche aufgepauschten story’s bringen…
Halt Spiegel: Zuerst eine grosse Schlagzeile, und zuunterst steht dann, dass dasselbe auch für alle anderen Geräte gelte. Unsauberer Journalismus?
Übrigens: Auch Dropbox Mobile kommuniziert (leider) nicht über https (egal ob Android oder iPhone – , auch dort die exakt selbe Thematik.
In der Tat wie ich ja im Blog Beitrag erwähnt habe, sind da natürlich die Medien gross drin, früher haben sie Windows ge-mobbt und Apple hochgelobt, dann kam die Zeit als Apple immer an den Pranger gestellt wurde und andere wie z.B. Android hoch gelobt wurden und jetzt da Android so auf der Überholspur ist, geben diese natürlich alles auf Android (immer da wo die grössten Einschaltquoten/Leser zu erwarten sind.. traurig aber leider unsere Medien 🙁 )
Genau wie Stefan es sagte: Jedes Netzwerk ist aus dieser Sicht potentiell gefährlich, selbst ein verkabeltes. Und das sollte Google wissen und von Anfang an alles zumindest über HTTPS verschlüsseln und das sollte ja wie gesagt keine grosse Sache sein… echt schwach, dass sie das (wahrscheinlich aus performance gründen) erstmal nicht gemacht haben.
schlimm ist nur dass die meisten Geräte erst sehr spät (siehe mein Galaxy Tab) ein Update erhalten, wenn überhaupt. aber da hoffen wir jetzt dass sich da nach der Google I/O wirklich was ändert..
Ich benutze die Online Synch des Androiden überhaupt nicht mit den Google-Diensten!
Es ist dock keine Überraschung dass die Online Synchronisation unsicher ist. Das steht sorar in den Nutzngsbedingungen, die man vor Gebrauch abnicken mu(e)sste.
Die nativen Google Dienste Mail und Kalender liegen weitestgehend brach, da ich lieber mein Standard Mail und mein Outlook benutze und diese Dienste lieber separat aufgesetzt habe und das schonmal aus einem gewissen Mißtrauen heraus zur Datenkrake selbst. 😎
Mail wird online über TLS abgerufen, Daten im WiFi Netz zuhause oder da, wo ich in geschützten Netzen unterwegs bin. Von einem offenen Hotspot werden höchsten Daten durchs Websurfen anfallen.
Schon die VoIP-Nutzung (Sipgate) ist wieder einigermaßen sicher verpackt 🙂
Adressen und Termine könne warten, bis ich wieder am Notebook bin – das ist klassisch über USB mit meinem HTC Wildfire verbunden. Das Notebook kann sich nämlich sicher mit meinem Heimatnetz verbinden :D.
sorry für die Schreibfehler – ich bin grad unterwegs – mit UMTS 🙂