Google preist das eigene Android-Betriebssystem für Smartphones als offene Alternative zu Apple und Co - diese Art von Offenheit hatte der Konzern allerdings sicherlich nicht gemeint: Ulmer Forscher haben eine Sicherheitslücke in Google-Diensten für Android aufgedeckt, die das Dilemma des Systems zeigt.
Android: Lücke bei Google-Diensten.
(Foto: dpa)In einem Blogeintrag berichten Bastian Könings, Jens Nickels und Florian Schaub vom Institut für Medieninformatik über eine Methode, mit der sich Kalendereinträge, Kontaktdaten und Bilder aus dem Fotodienst Picasa nicht nur einsehen, sondern sogar manipulieren lassen.
Das Szenario sieht folgendermaßen aus: Verbindet sich ein Internetnutzer mit einem offenen Wlan, können seine Daten potentiell ausgelesen werden. Dieses Problem ist bekannt, lässt sich aber normalerweise beim Besuch einer Webseite über die Verwendung von HTTPS statt HTTP vermeiden - das "s" in der Webadresse sorgt für eine Verschlüsselung der Daten.
Bei Apps sieht dies anders aus - hier ist der Nutzer darauf angewiesen, dass die Entwickler beim Zugriff auf sensible Daten eine Verschlüsselung eingebaut haben. Offenbar hat dies Google bei den betroffenen Diensten lange Zeit unterlassen: Die Authentifizierung wird unverschlüsselt über das Netz gesendet.
"Es werden keine Passwörter ausgelesen, sondern das authToken, eine Zeichenfolge", erklärt Florian Schaub, Mitautor des Blogeintrags. Diese Zeichenfolge ermöglicht die digitale Identifizierung. Die authTokens werden automatisch verschickt, falls ein Android-Nutzer für seine Google-Dienste die automatische Synchronisierung aktiviert hat.
Bis zu 14 Tage Zugriff
Brisant ist dabei die Tatsache, dass die authTokens nach Angaben der Forscher offenbar bis zu 14 Tage gültig sind. Mit ihnen kann der Angreifer nun in dieser Zeit theoretisch auch von anderen Orten Anfragen des legitimen Handy-Nutzers simulieren. "Prinzipiell wäre es möglich, Kalendereinträge einzusehen und zu verändern", erklärt Informatiker Schaub, "Für die Industriespionage ließen sich beispielsweise Kontaktdaten austauschen, um so eventuell vertrauliche Mails an eine andere Adresse umzuleiten."
Die Bedrohung ist zwar vor allem theoretisch - bislang ist nicht bekannt, dass die Lücke ausgenutzt worden wäre. Allerdings dürften nicht nur die Google-Dienste betroffen sein: Alle Android- oder Desktop-Applikationen, die zur Datenübertragung HTTP statt HTTPS verwenden, könnten theoretisch eine Lücke bieten. Als Beispiel außerhalb des Google-Kosmos nennen die Wissenschaftler zum Beispiel das Plugin des Mail-Programms Thunderbird, das auf Googles Kalender zugreift.
Google reagiert auf die Aufdeckung reuig: "Wir sind uns des Themas bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen", sagt Pressesprecher Kay Oberbeck.
Das Update-Problem
Ab der Version 2.3.4 ist der Fehler behoben - doch diese ist bislang nur bei einem Bruchteil der Android-Geräte installiert: Derzeit laufen noch mehr als 60 Prozent der Android-Geräte mit der Version 2.2, die Version 2.3.4 wurde erst Ende April veröffentlicht und dürfte einen Anteil von weniger als einem Prozent ausmachen. "Das größte Problem von Android ist die Update-Prozedur", glaubt deshalb auch Florian Schaub, "denn wann ich ein Update herausgebe, liegt in der Verantwortung der Hersteller oder manchmal sogar der Netzanbieter."
Hier rächt sich, dass Google für die Verwendung seines Betriebssystems nur wenige Vorgaben macht: Weil die Hersteller das Betriebssystem auf ihre Geräte anpassen, verzögern sich auch die Updates, auf die Android-Nutzer teilweise Monate warten müssen. Auf seiner Entwicklerkonferenz I/O kündigte Google vor wenigen Tagen an, diesen Prozess zu beschleunigen.
Um dem theoretischen Datenklau zu entgehen, sollten sich Android-Nutzer, die nicht die Version 2.3.4 benutzen, derzeit nicht in offene Funknetzwerke einwählen. Wer dies dennoch tun möchte, sollte die automatische Synchronisierung deaktivieren. Dies ist im Menü "Einstellungen" unter dem Punkt Konten/Synchronisation möglich. Um die Einwahl in bereits benutzte offene Funknetzwerke zu verhindern, müssen diese im Menüpunkt Wlan-Einstellungen manuell gelöscht werden.
Update, 19.5.: Google hat inzwischen angekündigt, die Sicherheitslücke in den kommenden Tagen ohne ein Update des Betriebssytems zu schließen.
