> > > > Gravierende Sicherheitslücke in Googles Android-OS aufgespürt

Gravierende Sicherheitslücke in Googles Android-OS aufgespürt

Veröffentlicht am: von

androidGoogles Android kommt als Betriebssystem auf einer Vielzahl von mobilen Geräten wie Smartphones und Tablets zum Einsatz. Experten der Universität Ulm haben jetzt eine Sicherheitslücke entdeckt, von der nahezu alle dieser Geräte betroffen sein sollen.

Dieses Leck wird dann gefährlich, wenn offene WLANs genutzt werden. Angreifer könnten dadurch unter Umständen sämtliche Daten mitlesen, die Nutzer in verschiedenen Anwendungen wie dem Kalender oder der Kontaktliste hinterlegt haben und die automatisch mit Googles Cloud-Diensten abgeglichen werden. Auch Tokens (Authentifizierungsdateien) lassen sich abfangen, Angreifer hätten dann sogar Zugriff auf die betroffenen Anwendungen - darunter nicht nur Google-Apps, sondern z.B. auch das beliebte E-Mail-Programm Thunderbird.

Google soll die Sicherheitslücke in der Zwischenzeit mit Android 2.3.4. (ab Anfang Mai verfügbar, aber auch nicht für alle Geräte) geschlossen haben - das gilt aber noch nicht für alle Anwendungen. Bis die Lücke endgültig geschlossen ist, sollten Android-Nutzer laut den Sicherheitsexperten besuchte offene WLANs löschen (damit sich das Gerät nicht wieder automatisch einloggt), auf die Nutzung offener WLANs vorerst verzichten und ihr Google-Passwort ändern.

Weiterführende Links:

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

es liegen noch keine Tags vor.

Kommentare (6)

#1
Registriert seit: 06.05.2006

Bootsmann
Beiträge: 722
Wie überall anderswo auch - merkwürdige Überschrift... Das Problem ist nicht im OS selber zu suchen, sondern in den Apps (und ja Kalender, Kontakte, etc. sind im Grunde ja auch nur Apps die mitgeliefert werden). Offene WLAN sind nun mal per Definition *offen*, d.h. *jede* App/Anwendung die im Klartext Daten darüber überträgt lässt sich "mitschneiden", also auch iPhone/iPad Apps, oder Anwendungen die auf irgendeinem x-beliebigen Notebook laufen. Die App/Anwendung ist dafür verantwortlich die Datenübermittlung zuverschlüsseln, nicht das OS, hier triffts halt Apps die dem OS beiligen/integriert sind, aber ich wette wenn da mal jemand nachschaut wird man Dutzende Apps/Anwendungen finden die genau diese Lücke aufweisen.
#2
customavatars/avatar15872_1.gif
Registriert seit: 02.12.2004
Leipzig
[online]-Redakteur
Beiträge: 4056
@Caspar666: Eine Überschrift sollte nunmal einen gewissen catch-Faktor haben und darf imho deshalb durchaus zuspitzen. Dafür gibts dann ja den eigentlichen Newstext - aus dem hervorgeht, dass die Apps betroffen sind.
#3
Registriert seit: 06.05.2006

Bootsmann
Beiträge: 722
Es geht aber aus dem Artikel nicht hervor das dieses Problem auf *allen* Plattformen besteht, sprich iOS, Windwos, OS-X, etc. - es ist Sache der Anwendung keine Daten im Klartext zu übertragen. Die Lücke die Google schliesst ist auch keine grundsätzliche im OS, sondern in den Apps, sprich nach wie vor werden danach Apps von Drittherstellern die die Daten nicht verschlüsseln mitschneidbar sein.

Der Artikel hier unterschlägt diesen Hinweis auf andere Betriebssysteme, wie er im Artikel bei heise.de von gestern zum Beispiel vorhanden ist (Zitat von heise.de):

Zitat
Doch das Problem ist nicht nur auf Google Apps auf Smartphones beschränkt, sondern betrifft alle Android- sowie Desktop-Anwendungen, die das ClientLogin-Protokoll über HTTP statt HTTPS verwenden.
#4
customavatars/avatar118600_1.gif
Registriert seit: 23.08.2009
Erding
Kapitänleutnant
Beiträge: 1853
Was ich gerade nicht so ganz verstehe... was ist so neu dran, dass man unverschlüsselte Verbindungen belauschen kann? Ich meine weil die Experten an der Uni das Problem "entdeckt" haben wollen...
#5
Registriert seit: 05.11.2007
Neckar-Odenwald Kreis
Kapitän zur See
Beiträge: 3596
So lange die App/Software keine Verschlüsselung benutzt, ist es egal ob das WLAN offen, mit WPA2 oder sonst was geschützt ist. Die Infos kann jeder, der dem Netzwerk angehört mitlesen.

Ist eine blöde Sache, aber mMn nicht unbedingt OS abhängig, da war einer bei der Programmierung zu faul noch zu verschlüsseln, was es bestimmt auch bei vielen anderen Anwendungen gibt (ok bei persönlichen Daten vllt. ne schlechte Idee).

Bei der Überschrift denkt man aber eher an, mit wlan und dem Benutzername: admin Pw: admin, kann man alles auslesen.
#6
Registriert seit: 24.05.2009
Hessen, Bergstraße, B-Town
Kapitänleutnant
Beiträge: 1831
na ja ist halt so :D copy past ohne genau nach zu lesen was genau so los ist... hätte von hwluxx mehr erwartet :(
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Noblechairs Icon Gamingstuhl im Test

Logo von IMAGES/STORIES/2017/NOBLECHAIRS_TEST

Gamingstuhl im Selbsttest: Viel halte ich ja vom aktuellen Gamingstuhl-Trend nicht. Natürlich, die Dinger sehen cool aus, aber vielleicht bin ich zu alt für jeden neuen Trend. Auch bin ich der Meinung, dass jeder gute Office-Stuhl mehr kann. Aber die Redaktion setzte mir trotzdem den Noblechairs... [mehr]

Eröffnungsfeier: Olympische Ringe durch 1.218 Drohnen von Intel dargestellt

Logo von IMAGES/STORIES/2017/INTEL

Heute wurden die olympischen Winterspiele im südkoreanischen Pyeongchang eröffnet. Während der Eröffnungsfeier waren auch 1.218 Quadrocopter im Einsatz, die bereits mehrfach einen Auftritt bei öffentlichen Veranstaltungen hatten. Die Drohnen basieren auf Intels Shooting... [mehr]

Echo Plus: Amazon macht Smart-Home-Hubs überflüssig

Logo von IMAGES/STORIES/2017/AMAZON_ECHO_PLUS

Mit dem Mitte September vorgestellten neuen Fire HD 10 deutete Amazon bereits an, in welche Richtung sich Alexa bewegen könnte. Nun ist das Ziel klar: Die Nutzung des Smart Home soll deutlich einfacher werden. Damit ist aber nicht nur die leichte Steuerung per Sprache oder Skills gemeint, wie... [mehr]

Michael Kors Access Grayson im Test: Wenn Design das Wichtigste ist

Logo von IMAGES/STORIES/2017/MICHAEL_KORS_ACCESS_GRAYSON

Das Smartwatch-Universum ist klar aufgeteilt: An der Spitze marschiert Apple, Android Wear folgt mit weitem Abstand. Eine Aufteilung, die erst vor wenigen Wochen von Marktforschern - mal wieder - bestätigt worden ist. Ohne das Engagement von Mode- und Lifestyle-Unternehmen würde es allerdings... [mehr]

Apple AirPower soll 149 US-Dollar kosten und mit 22 Spulen ausgestattet sein

Logo von IMAGES/STORIES/2017/AIRPOWER

Bereits im September 2017 hat Apple seine Ladematte AirPower offiziell vorgestellt. Damals konnte das Unternehmen weder einen Termin, noch einen Preis nennen. Daran hat sich bisher nichts geändert, denn fast ein Jahr später sucht man AirPower weiterhin vergebens in den Regalen der Händler.... [mehr]

Sharkoon Skiller SGS3 im Test - schmal geschnitten, gut gepolstert

Logo von IMAGES/STORIES/2017/SHARKOON_SKILLER_TEASER

Nach Corsair und noblechairs steht nun der dritte Gaming-Chair auf unserem Testprogramm, der Sharkoon Skiller SGS3. Die Optik kommt schon einmal bekannt vor, aber kann sich der auf das Gaming ausgerichtete Bürostuhl an anderer Stelle absetzen? Sie sind sicherlich eines der Phänomene der letzten... [mehr]