> > > > Gravierende Sicherheitslücke in Googles Android-OS aufgespürt

Gravierende Sicherheitslücke in Googles Android-OS aufgespürt

Veröffentlicht am: von

androidGoogles Android kommt als Betriebssystem auf einer Vielzahl von mobilen Geräten wie Smartphones und Tablets zum Einsatz. Experten der Universität Ulm haben jetzt eine Sicherheitslücke entdeckt, von der nahezu alle dieser Geräte betroffen sein sollen.

Dieses Leck wird dann gefährlich, wenn offene WLANs genutzt werden. Angreifer könnten dadurch unter Umständen sämtliche Daten mitlesen, die Nutzer in verschiedenen Anwendungen wie dem Kalender oder der Kontaktliste hinterlegt haben und die automatisch mit Googles Cloud-Diensten abgeglichen werden. Auch Tokens (Authentifizierungsdateien) lassen sich abfangen, Angreifer hätten dann sogar Zugriff auf die betroffenen Anwendungen - darunter nicht nur Google-Apps, sondern z.B. auch das beliebte E-Mail-Programm Thunderbird.

Google soll die Sicherheitslücke in der Zwischenzeit mit Android 2.3.4. (ab Anfang Mai verfügbar, aber auch nicht für alle Geräte) geschlossen haben - das gilt aber noch nicht für alle Anwendungen. Bis die Lücke endgültig geschlossen ist, sollten Android-Nutzer laut den Sicherheitsexperten besuchte offene WLANs löschen (damit sich das Gerät nicht wieder automatisch einloggt), auf die Nutzung offener WLANs vorerst verzichten und ihr Google-Passwort ändern.

Weiterführende Links:

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

es liegen noch keine Tags vor.

Kommentare (6)

#1
Registriert seit: 06.05.2006

Bootsmann
Beiträge: 722
Wie überall anderswo auch - merkwürdige Überschrift... Das Problem ist nicht im OS selber zu suchen, sondern in den Apps (und ja Kalender, Kontakte, etc. sind im Grunde ja auch nur Apps die mitgeliefert werden). Offene WLAN sind nun mal per Definition *offen*, d.h. *jede* App/Anwendung die im Klartext Daten darüber überträgt lässt sich "mitschneiden", also auch iPhone/iPad Apps, oder Anwendungen die auf irgendeinem x-beliebigen Notebook laufen. Die App/Anwendung ist dafür verantwortlich die Datenübermittlung zuverschlüsseln, nicht das OS, hier triffts halt Apps die dem OS beiligen/integriert sind, aber ich wette wenn da mal jemand nachschaut wird man Dutzende Apps/Anwendungen finden die genau diese Lücke aufweisen.
#2
customavatars/avatar15872_1.gif
Registriert seit: 02.12.2004
Leipzig
[online]-Redakteur
Beiträge: 3821
@Caspar666: Eine Überschrift sollte nunmal einen gewissen catch-Faktor haben und darf imho deshalb durchaus zuspitzen. Dafür gibts dann ja den eigentlichen Newstext - aus dem hervorgeht, dass die Apps betroffen sind.
#3
Registriert seit: 06.05.2006

Bootsmann
Beiträge: 722
Es geht aber aus dem Artikel nicht hervor das dieses Problem auf *allen* Plattformen besteht, sprich iOS, Windwos, OS-X, etc. - es ist Sache der Anwendung keine Daten im Klartext zu übertragen. Die Lücke die Google schliesst ist auch keine grundsätzliche im OS, sondern in den Apps, sprich nach wie vor werden danach Apps von Drittherstellern die die Daten nicht verschlüsseln mitschneidbar sein.

Der Artikel hier unterschlägt diesen Hinweis auf andere Betriebssysteme, wie er im Artikel bei heise.de von gestern zum Beispiel vorhanden ist (Zitat von heise.de):

Zitat
Doch das Problem ist nicht nur auf Google Apps auf Smartphones beschränkt, sondern betrifft alle Android- sowie Desktop-Anwendungen, die das ClientLogin-Protokoll über HTTP statt HTTPS verwenden.
#4
customavatars/avatar118600_1.gif
Registriert seit: 23.08.2009
Erding
Kapitänleutnant
Beiträge: 1853
Was ich gerade nicht so ganz verstehe... was ist so neu dran, dass man unverschlüsselte Verbindungen belauschen kann? Ich meine weil die Experten an der Uni das Problem "entdeckt" haben wollen...
#5
Registriert seit: 05.11.2007
Neckar-Odenwald Kreis
Kapitän zur See
Beiträge: 3286
So lange die App/Software keine Verschlüsselung benutzt, ist es egal ob das WLAN offen, mit WPA2 oder sonst was geschützt ist. Die Infos kann jeder, der dem Netzwerk angehört mitlesen.

Ist eine blöde Sache, aber mMn nicht unbedingt OS abhängig, da war einer bei der Programmierung zu faul noch zu verschlüsseln, was es bestimmt auch bei vielen anderen Anwendungen gibt (ok bei persönlichen Daten vllt. ne schlechte Idee).

Bei der Überschrift denkt man aber eher an, mit wlan und dem Benutzername: admin Pw: admin, kann man alles auslesen.
#6
Registriert seit: 24.05.2009
Hessen, Bergstraße, B-Town
Kapitänleutnant
Beiträge: 1831
na ja ist halt so :D copy past ohne genau nach zu lesen was genau so los ist... hätte von hwluxx mehr erwartet :(
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Netgear Arlo Pro im Test - Kabellose Überwachungskamera mit Cloud

Logo von IMAGES/STORIES/2017/NETGEAR_ARLO_PRO-TEASER

Netgears Arlo-Cams sind schon seit einiger Zeit auf dem Markt und sicher jedem ein Begriff, der schon einmal in Betracht gezogen hat, in seinen eigenen vier Wänden oder auf seinem Grundstück eine Video-Überwachung zu installieren. Jetzt gibt es mit Arlo Pro ein neues Top-Modell, das wir... [mehr]

Creative MUVO 2 und MUVO 2c im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/CREATIVE_MUVO_2_MUVO_2C

Wie lohnenswert das Geschäft mit Bluetooth-Lautsprechern für unterwegs sein muss, zeigt vermutlich kaum etwas so deutlich wie die unüberschaubare Anzahl an Anbietern. Abheben kann man sich entweder über den Preis oder Qualität und Ausstattung. Mit dem MUVO 2 und MUVO 2c zielt Creative auf die... [mehr]

Samsung Gear S3 im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/SAMSUNG_GEAR_S3_TEASER_KLEIN

Während das Android-Wear-Lager Pause macht, legt Samsung nach. Mit der auf der IFA 2016 vorgestellten Gear S3 bleibt man dem Konzept des Vorgängers treu, will hier und da aber Schwachstellen beseitigt und Stärken weiter ausgebaut haben. Das Ergebnis ist eine größere und schwerere Smartwatch,... [mehr]

Vernetzte Körperanalysewaage Withings Body Cardio im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/WITHINGS-BODY-CARDIO/TEASER

Mit der Body Cardio hat der Hersteller Withings eine Waage entwickelt, die umfangreiche Körperanalysefunktionen bietet und die gewonnenen Daten per WLAN oder Bluetooth synchronisiert. Voll im Trend der Vernetzung ist dabei auch eine Integration mit weiteren Fitness-Diensten möglich, um das... [mehr]

Creative iRoar Go im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/CREATIVE_IROAR_GO

Manchmal kommt es eben doch auf die Größe an, zumindest wenn es um Lautsprecher geht. Denn trotz aller Fortschritte lässt sich die Physik am Ende nicht überlisten - Klang, Volumen und Funktionen brauchen Platz. All das soll Creatives iRoar Go bieten und am Ende doch noch ein Allrounder für... [mehr]

Corsair T1 Race ausprobiert - Gaming-Chair vom Speicher-Spezialisten

Logo von IMAGES/STORIES/2017/CORSAIR_T1_RACE-18

Vom Speicherhersteller, zum Peripherie-Experten, zum Möbelanbieter. Mit dem Corsair T1 Race Gaming Chair ist der bekannte Speicher-Experte in den lukrativen Markt der Gaming-Bürostühle eingestiegen. Wir haben das Erstlingswerk im Büro-Alltag und im Gaming-Einsatz getestet. Durch die... [mehr]