> > > > Gravierende Sicherheitslücke in Googles Android-OS aufgespürt

Gravierende Sicherheitslücke in Googles Android-OS aufgespürt

Veröffentlicht am: von

androidGoogles Android kommt als Betriebssystem auf einer Vielzahl von mobilen Geräten wie Smartphones und Tablets zum Einsatz. Experten der Universität Ulm haben jetzt eine Sicherheitslücke entdeckt, von der nahezu alle dieser Geräte betroffen sein sollen.

Dieses Leck wird dann gefährlich, wenn offene WLANs genutzt werden. Angreifer könnten dadurch unter Umständen sämtliche Daten mitlesen, die Nutzer in verschiedenen Anwendungen wie dem Kalender oder der Kontaktliste hinterlegt haben und die automatisch mit Googles Cloud-Diensten abgeglichen werden. Auch Tokens (Authentifizierungsdateien) lassen sich abfangen, Angreifer hätten dann sogar Zugriff auf die betroffenen Anwendungen - darunter nicht nur Google-Apps, sondern z.B. auch das beliebte E-Mail-Programm Thunderbird.

Google soll die Sicherheitslücke in der Zwischenzeit mit Android 2.3.4. (ab Anfang Mai verfügbar, aber auch nicht für alle Geräte) geschlossen haben - das gilt aber noch nicht für alle Anwendungen. Bis die Lücke endgültig geschlossen ist, sollten Android-Nutzer laut den Sicherheitsexperten besuchte offene WLANs löschen (damit sich das Gerät nicht wieder automatisch einloggt), auf die Nutzung offener WLANs vorerst verzichten und ihr Google-Passwort ändern.

Weiterführende Links:

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

es liegen noch keine Tags vor.

Kommentare (6)

#1
Registriert seit: 06.05.2006

Bootsmann
Beiträge: 722
Wie überall anderswo auch - merkwürdige Überschrift... Das Problem ist nicht im OS selber zu suchen, sondern in den Apps (und ja Kalender, Kontakte, etc. sind im Grunde ja auch nur Apps die mitgeliefert werden). Offene WLAN sind nun mal per Definition *offen*, d.h. *jede* App/Anwendung die im Klartext Daten darüber überträgt lässt sich "mitschneiden", also auch iPhone/iPad Apps, oder Anwendungen die auf irgendeinem x-beliebigen Notebook laufen. Die App/Anwendung ist dafür verantwortlich die Datenübermittlung zuverschlüsseln, nicht das OS, hier triffts halt Apps die dem OS beiligen/integriert sind, aber ich wette wenn da mal jemand nachschaut wird man Dutzende Apps/Anwendungen finden die genau diese Lücke aufweisen.
#2
customavatars/avatar15872_1.gif
Registriert seit: 02.12.2004
Leipzig
[online]-Redakteur
Beiträge: 4086
@Caspar666: Eine Überschrift sollte nunmal einen gewissen catch-Faktor haben und darf imho deshalb durchaus zuspitzen. Dafür gibts dann ja den eigentlichen Newstext - aus dem hervorgeht, dass die Apps betroffen sind.
#3
Registriert seit: 06.05.2006

Bootsmann
Beiträge: 722
Es geht aber aus dem Artikel nicht hervor das dieses Problem auf *allen* Plattformen besteht, sprich iOS, Windwos, OS-X, etc. - es ist Sache der Anwendung keine Daten im Klartext zu übertragen. Die Lücke die Google schliesst ist auch keine grundsätzliche im OS, sondern in den Apps, sprich nach wie vor werden danach Apps von Drittherstellern die die Daten nicht verschlüsseln mitschneidbar sein.

Der Artikel hier unterschlägt diesen Hinweis auf andere Betriebssysteme, wie er im Artikel bei heise.de von gestern zum Beispiel vorhanden ist (Zitat von heise.de):

Zitat
Doch das Problem ist nicht nur auf Google Apps auf Smartphones beschränkt, sondern betrifft alle Android- sowie Desktop-Anwendungen, die das ClientLogin-Protokoll über HTTP statt HTTPS verwenden.
#4
customavatars/avatar118600_1.gif
Registriert seit: 23.08.2009
Erding
Kapitänleutnant
Beiträge: 1853
Was ich gerade nicht so ganz verstehe... was ist so neu dran, dass man unverschlüsselte Verbindungen belauschen kann? Ich meine weil die Experten an der Uni das Problem "entdeckt" haben wollen...
#5
Registriert seit: 05.11.2007
Neckar-Odenwald Kreis
Kapitän zur See
Beiträge: 3620
So lange die App/Software keine Verschlüsselung benutzt, ist es egal ob das WLAN offen, mit WPA2 oder sonst was geschützt ist. Die Infos kann jeder, der dem Netzwerk angehört mitlesen.

Ist eine blöde Sache, aber mMn nicht unbedingt OS abhängig, da war einer bei der Programmierung zu faul noch zu verschlüsseln, was es bestimmt auch bei vielen anderen Anwendungen gibt (ok bei persönlichen Daten vllt. ne schlechte Idee).

Bei der Überschrift denkt man aber eher an, mit wlan und dem Benutzername: admin Pw: admin, kann man alles auslesen.
#6
Registriert seit: 24.05.2009
Hessen, Bergstraße, B-Town
Kapitänleutnant
Beiträge: 1831
na ja ist halt so :D copy past ohne genau nach zu lesen was genau so los ist... hätte von hwluxx mehr erwartet :(
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • Michael Kors Access Grayson im Test: Wenn Design das Wichtigste ist

    Logo von IMAGES/STORIES/2017/MICHAEL_KORS_ACCESS_GRAYSON

    Das Smartwatch-Universum ist klar aufgeteilt: An der Spitze marschiert Apple, Android Wear folgt mit weitem Abstand. Eine Aufteilung, die erst vor wenigen Wochen von Marktforschern - mal wieder - bestätigt worden ist. Ohne das Engagement von Mode- und Lifestyle-Unternehmen würde es allerdings... [mehr]

  • Eröffnungsfeier: Olympische Ringe durch 1.218 Drohnen von Intel dargestellt

    Logo von IMAGES/STORIES/2017/INTEL

    Heute wurden die olympischen Winterspiele im südkoreanischen Pyeongchang eröffnet. Während der Eröffnungsfeier waren auch 1.218 Quadrocopter im Einsatz, die bereits mehrfach einen Auftritt bei öffentlichen Veranstaltungen hatten. Die Drohnen basieren auf Intels Shooting... [mehr]

  • Feinstaubsensor und Datenerhebung im DIY-Verfahren

    Logo von IMAGES/STORIES/2017/FEINSTAUBSENSOR-DIY-LOGO

    Heute mal etwas anderes – warum nicht einmal einen Feinstaub-Sensor selbst bauen? Natürlich nach Anleitung, wenngleich es davon schon viele gibt, die aber nicht in jedem Schritt ganz eindeutig sind und zudem einige Hürden haben. Wir lassen also den Lötkolben warmlaufen, bauen uns einen... [mehr]

  • Apple AirPower soll 149 US-Dollar kosten und mit 22 Spulen ausgestattet sein

    Logo von IMAGES/STORIES/2017/AIRPOWER

    Bereits im September 2017 hat Apple seine Ladematte AirPower offiziell vorgestellt. Damals konnte das Unternehmen weder einen Termin, noch einen Preis nennen. Daran hat sich bisher nichts geändert, denn fast ein Jahr später sucht man AirPower weiterhin vergebens in den Regalen der Händler.... [mehr]

  • Tesoro Zone Evolution im Test - breit geschnittener Gaming-Stuhl

    Logo von IMAGES/STORIES/2017/TESORO_ZONE_EVOLUTION_TEASER

    Was haben Kryptowährungen und Gaming-Chairs im Jahr 2017 gemeinsam? Beide boomen in einem Ausmaß, wie man es sich vor einigen Jahre nicht hat vorstellen können. Unser neuester Redaktionszugang ist der Tesoro Zone Evolution, den wir ausführlich probegesessen haben. Der Markt der Sitzmöbel... [mehr]

  • Sony WH-1000XM3: Noise-Cancelling-Kopfhörer in dritter Generation

    Logo von IMAGES/STORIES/2017/SONY

    Bei den Noise-Cancelling Bluetooth-Kopfhörer tut sich einiges. Besonders deutlich wird das mit Blick auf Sony. Erst im letzten Jahr haben wir den MDR-1000X auf dem Weg zur CES getestet. Jetzt wurde mit dem WH-1000XM3 bereits der Nach-Nachfolger vorgestellt.  Sony will dabei vor allem die... [mehr]