Datenleck bei Nutzung von unverschlüsselten WLANs (Android-Versionen bis 2.3.4)

[Lion13]

An der Universität Ulm haben Forscher eine Sicherheitslücke in den Android-Versionen vor 2.3.4 (Gingerbread) und 3.0 (Honeycomb) entdeckt, die immerhin etwa 90 Prozent aller derzeit verwendeten Geräte betrifft. Bei Zugriffen auf diverse Apps wie Google Kalender, Google Kontakte oder auch Picasa sind deren Daten weitgehend von außen einsehbar, wenn der Besitzer sich unter bestimmten Umständen in ein offenes, d.h. unverschlüsseltes WLAN einloggt - nicht ungewöhnlich bei öffentlichen Hotspots, z.B. in Flughäfen oder Fastfood-Ketten wie McDonalds. Ursache ist ein sog. "Authentifizierungs Token", welches die genannten Anwendungen bei der Anmeldung an Googles Server im Klartext senden; eigentlich ist dies schon seit jeher möglich, neu ist aber, daß mit Hilfe der Android-APIs auch Zugriffe auf die Daten "im Kontext des Benutzers" (also mit seiner Anmeldung) möglich sind.

Ein mögliches Szenario: Ein potentieller Angreifer startet ein offenes WLAN mit häufig verwendetem Namen; hat sich ein Benutzer schon einmal an einem WLAN gleichen Namens angemeldet, würde sich das Android-Gerät auch mit dem neuen Netzwerk automatisch verbinden - und bei der Synchronisierung mit den Google-Servern ließen sich die übertragenen Daten problemlos mitlesen. Seit der Android-Version 2.3.4 sowie auch 3.0 hat Google die Zugriffe auf HTTPS umgestellt, also verschlüsselt - zumindest beim Kalender sowie den Kontakten, nicht jedoch bei der Picasa-App, da diese von einem externen Dienstleister stammt. Erwähnenswert ist auch, daß nicht nur Android-Apps von der Sicherheitslücke betroffen sind, sondern auch PC-Programme wie der kostenlose Mail-Client Thunderbird, wenn das entsprechende Plugin für die Synchronisierung mit dem Google Kalender nicht entsprechend konfiguriert ist. Laut eigenen Angaben prüft Google derzeit das Datenleck, eine offizielle Stellungnahme gibt es aber bislang nicht, ebenso wenige Informationen gibt es darüber, ob es auch abseits eines Updates auf Android 2.3.4 ein außerplanmäßiges Update zum Schließen der Lücke geben wird.

Die Ulmer Forscher haben einige Empfehlungen veröffentlicht (s. Quellenlink unten), wie das Problem aus Sicht der Beteiligten gelöst werden kann. App-Entwickler sollten möglichst schnell eine Umstellung des ClientLogin auf HTTPS vornehmen; Google könnte beispielsweise die "Lebensdauer" des Token drastisch reduzieren, auch könnte man das automatische Login in bekannte WLAN-Netze auf solche beschränkt werden, die gesichert sind. Aus Sicht der Benutzer wird ein möglichst schnelles Update auf Android-Version 2.3.4 oder höher empfohlen, was leider nur mit Hilfe aller beteiligten Hersteller und Provider gelingen kann. Ist man in ungeschützten WLANs eingeloggt, sollte die automatische Synchronisation in den Einstellungen deaktiviert werden; das automatische Einloggen in bekannte offene Netze sollte verhindert werden (längeres Drücken auf den Namen des WLAN). Allgemein sollten wohl derzeit offene Netzwerke bei Benutzung der betroffenen Apps gemieden werden. Davon abgesehen sollte der gesunde Menschenverstand uns eigentlich sagen, daß man in einem offenen WLAN generell etwas vorsichtiger sein sollte, vor allem in bezug auf das Synchronisieren von Diensten und das Nutzen von Apps wie beispielsweise Online-Banking...

​

Diskussion zum Beitrag

Weitere Beiträge auf Android-Hilfe.de
https://www.android-hilfe.de/forum/...der-geo-daten.97771.html?highlight=Sicherheit
https://www.android-hilfe.de/forum/...en-ein-risiko.77544.html?highlight=Sicherheit
https://www.android-hilfe.de/forum/...te-verfuegbar.95882.html?highlight=Sicherheit

Quellen: heise.de, Spiegel Online, Universität Ulm

 

[Lion13]

Nachdem sich die Meldungen über die "dramatische Sicherheitslücke" (so Teile der Boulevard-Presse) gestern und heute überschlagen haben (sogar Nachrichten in bundesweit ausgestrahlten Radio-Sendungen berichteteten darüber), sollte man die Faktenlage etwas differenzierter betrachten. Ist es nun "viel Wind um nichts", oder wirklich eine ernsthafte Bedrohung? Die Antwort lautet: jein!

Tatsache ist, daß die Lücke bei der Authentifizierung mit Google-Diensten über offene WLANs real existiert - aber ebenfalls eine Tatsache ist, daß dieses Verhalten nun nicht wirklich neu ist. Schon im Oktober vergangenen Jahres berichtete beispielsweise Heise.de darüber, daß viele Android-Apps (wie z.B. Mail-Clients) unverschlüsselt mit ihren Servern kommunizieren; aber dies trifft alle mobilen Geräte wie beispielsweise auch das iPhone und auch die meisten Notebooks und Netbooks unter Windows - denn auch diese verbinden sich automatisch mit bekannten WLANs. Und daß man mittels Software Daten von solchen Geräten in ungesicherten Hotspots mitlesen kann, ist spätestens seit der medienwirksamen Berichterstattung über die Firefox-Erweiterung Firesheep (erste Berichte gab es auch im Oktober 2010) durchaus bekannt. Und auch andere Dienste wie Twitter oder Facebook erlaubten längere Zeit das Abhören ihrer Kommunikation, haben aber inzwischen auf das als relativ sicher geltende HTTPS umgestellt (Stichwort: "Sidejacking", Stehlen eines Session-Cookies).

Das Problem von Google ist nun, daß der Konzern zwar mit Android 2.3.4 zumindest bei der Kalender- und Kontakte-App die Lücke geschlossen hat und wohl auch in Kürze bei der Bilder-App Picasa nachlegen will - systembedingt kann man aber nicht wie z.B. bei Windows kurzfristig mit einem Sicherheitspatch nachhelfen; Updates können im Prinzip nur als neue Komplett-Version eingespielt werden, und diese Prozedur dürfte sich (gerade auch im Zusammenspiel mit den Providern) über Monate hinziehen, und ein Teil der in Benutzung befindlichen Android-Geräte wird wohl nicht auf eine aktuelle Gingerbread-Version aktualisiert. Immerhin haben Google und ein großer Teil der Geräteanbieter just auf der Google I/O den Beschluß gefaßt, enger bei der Versorgung mit Updates zusammenzuarbeiten, und auch eine mindestens 18monatige Versorgung mit entsprechend neuen OS-Versionen soll damit in Zukunft gesichert werden. Kurzfristig sind eher die Diensteanbieter gefragt, ihre Kommunikation sicherer zu gestalten, so daß weder Authentifizierungs-Token noch Session-Cookies "gestohlen" werden können. Und auch die Android-Entwickler könnten ihren Teil dazu beitragen, indem sie bestehende Möglichkeiten nutzen, die Anmeldung ihrer Client-Apps sicherer zu gestalten. Den am einfachsten umzusetzenden Rat kann man den Benutzern von Android-Geräten mitgeben - dies gilt aber schon, seit es offene WLAN-Hotspots in Flughäfen, Cafes usw. gibt: Synchronisation mit Dienste-Servern und die Nutzung von Apps, die nicht für die Öffentlichkeit bestimmte Daten senden und/oder empfangen, gehören nicht in die Umgebung eines ungeschützten, unverschlüsselten Netzwerks!

Nachtrag: Wie einige US-amerikanische Android-Blogs übereinstimmend melden, startet Google scheinbar heute noch die globale Verteilung eines Sicherheits-Fix für die beiden Apps "Contacts" und "Calendar" für die OS-Versionen kleiner als Android 2.3.4; dieser Fix benötigt keine Interaktion der User, sondern wird per OTA-Push auf alle betroffenen Geräte verteilt.

Today we’re starting to roll out a fix which addresses a potential security flaw that could, under certain circumstances, allow a third party access to data available in calendar and contacts. This fix requires no action from users and will roll out globally over the next few days.

(Quelle: Androidpolice.com)

Die Übertragung des AuthTokens verhindert
man zuverlässig, indem die Synchronisation
in offenen WLANs deaktiviert wird.
​

Quellen: Heise.de, WinFuture.de