Linux und Ich

Blog über Ubuntu, Linux, Android und IT

99% aller Android Smartphones von massiver Sicherheitslücke betroffen

[UPDATE] 99% aller Android-Smartphones von massiver Sicherheitslücke betroffen

| 15 Kommentare

Nur als schneller Hinweis an alle Besitzer von Android-Smartphones, die öfters in unverschlüsselten Netzwerken unterwegs sind. Eine Gruppe von Informatikern an der Uni-Ulm hat herausgefunden, dass man aus den unverschlüsselt gesendeten Daten problemlos den Authentifizierungsschlüssel (authToken) oder gar Passwörter im Klartext herausfischen kann! Das ist für kundige User eigentlich nichts neues, doch diese Probleme betreffen nicht nur irgendeine Feld-Wald-und-Wiesen-App, sondern sogar die vorinstallierten Google Anwendungen wie den Google Calendar, Google Contacts oder der Galerie!

Erst in Android 2.3.4 oder Android 3.0 wurden eine Reihe dieser Probleme behoben, doch kaum jemand ist mit diesen aktuellen Android-Versionen unterwegs. Sollte man sich also unbedingt in einem unverschlüsselten WLAN einloggen wollen (z.B. in einem Internet-Cafe), so sollte man auf jeden Fall vorher die automatische Synchronisierung der Daten im Hintergrund abschalten und am besten noch ein VPN aufschalten, so dass man trotz des offenen WLANs ins Internet funkt.

Selbst Google-Apps senden unverschlüsselt ihre Zugangsdaten!

So rächt sich die starke Fragmentation der Android-Basis mal wieder. Google hat ja auf der letzten Entwicklerkonferenz Google I/O 2011 versprochen, dass in Zukunft alle großen Hersteller von Android-Telefone ihre Geräte mindestens 18 Monate lang zeitnah mit Updates und der aktuellen Android-Version versorgen, doch was nutzt das den zig Millionen Besitzern von jetzt aktuellen und älteren Geräten?

[UPDATE 19.5.2011: Zahlreiche Medien berichten, dass Google das Problem serverseitig lösen möchte. Möglich wäre, dass bei der Ubertragung der Tokens automatisch auf eine verschlüsselte Übertragung über https umgeleitet wird. Dadurch wird das Problem für die betroffenen Programme von Google für alle Android-Versionen gelöst, ohne dass die Nutzer ihr Gerät aktualisieren müssen.]

(Bild lizenziert unter CC-BY von aussiegall auf Flickr, via MobilCrunch)

Autor: Christoph Langner

Hallo, ich bin Christoph -- Linux-User, Blogger und pragmatischer Fan freier Software. Wie Ihr ohne Zweifel bemerkt haben solltet schreibe ich hier über Linux im Allgemeinen, Ubuntu im Speziellen, sowie Android und andere Internet-Themen. Wenn du Freude an meinen Artikel gefunden haben solltest, dann kannst du mir über Facebook, Google+ oder Twitter oder natürlich dem Blog folgen.

15 Kommentare

  1. Bei Verwendung eines nicht verschlüsselten WLANs sollte sowieso alles per VPN verschlüsselt werden. Das kann sogar in an sich verschlüsselten Netzwerken (WPA) sinnvoll sein, wenn man dem Netzwerk nicht traut.

  2. Weshalb die Hersteller das mit den zeitnahen Upgrades nicht hinbekommen habe ich auch nie verstanden. Was dauert da so lange dran, eine neue Android-Version anzupassen? Warum muss ich da überhaupt auf den Hersteller der Hardware warten? Und dann gibt’s Hersteller wie HTC, die viele Modelle auf dem Markt haben und bei jedem Modell dauert es unterschiedlich lang die neue Version zu veröffentlichen … warum?

    Bei einem PC muss ich ja auch nicht auf Intel warten, bis die endlich eine neue Windows/Linux-Version bereitstellen.

    Die verkaufen Hardware! Nichts weiter. Ja, es kommt mit vorinstallierter Software, aber bei jedem PC kann man eigene Software/Betriebssysteme problemlos nachinstallieren. Und die Hardware-Firmen verdienen trotzdem dran.

    Alles andere ist Geldschneiderei „ihr müsst ein neues Handy kaufen, weil wir die neue Android-Version nicht auf euer Gerät bringen“. Natürlich kombiniert mit signierten Bootloadern und allen technischen DRM-Maßnahmen damit die Kunden das Gerät bloß nicht ausnutzen können.

    Ich finde es gut, dass Google da etwas mehr Druck auf die Hersteller ausübt. Google scheint verstanden zu haben, dass Offenheit wichtige Voraussetzung für zufriedene Kunden ist. Faktisch das genaue Gegenteil zu Apple.

    ~jug

    • Ich denke, dass viele Produzenten von Smartphones sich nach wie vor nicht als “Computer-Hersteller” sondern als “Handy-Hersteller” verstehen. Ein herkömmliches Handy hat man bisher immer entwickelt, produziert und verkauft. Für Support oder Modellpflege wussten so gut wie keine Ressourcen bereitgestellt werden, bei der üblichen Halbwertszeit von Handys war das einfach nicht nötig.

      Smartphones sind nun keine Handys mehr, sondern kompakte Computer mit Telefonie-Funktion. Sämtliche Hersteller müssen wohl erst eingetrichtert bekommen, dass an so ein Gerät ganz andere Ansprüche gestellt werden wie an ein normales Handy.

      • Joa, mal sehen ob und wann es soweit sein wird das man sich sein System auf dem Handy selbst aussuchen darf oder nach belieben wechseln kann (Android, WP7, Meego usw)

  3. Danke für den Artikel.
    Wieder ein Argument, um meine bessere Hälfte von einem Update auf Version 2.3 zu überzeugen, bei Ihrem Galaxy S.
    Bei meinem ZTE Blade, werde ich einfach diese Synchronisierung im Hintergrund (könnte auch im Untergrund sein ;-), deaktivieren.
    Die Defragmentierung bei Android Handys, sollte man in der Zukunft in den Griff kriegen bei den Herstellern.
    Hier kann ich mich nur dem Kommentar, von Christoph, voll u. ganz anschliessen.

  4. Zitat: “so sollte man auf jeden Fall vorher die automatische Synchronisierung der Daten im Hintergrund abschalten…”

    Das habe ich gemacht.
    Danach konnte ich auf meinem ZTE Blade nicht mehr den Android Market aufrufen.
    Also habe ich keinde andere Wahl, als es auch wieder einzuschalten, wenn ich den Market nutzen will.

    • Es geht ja nur drum dass die Synchronisierung abgeschaltet ist, während du in einem offenen Wlan unterwegs bist. Im Alltag und Zuhause in deinem – hoffentlich verschlüsselten WLAN – kannst du sie ja weiterhin aktiviert lassen. Wenn du dich öfters in einem offenen WLAN einloggst, dann würde ich mir ein Widget auf den Homescreen legen, über das man die Synchronisieren mit einem “Klick” de-/aktivieren kann. Android bringt bspw. mit dem Stromspar-Widget bspw. von Haus aus eines mit. Gibt auch zahlreiche 1×1 Widgets im Market, die das selbe machen.

      • Ja stimmt.
        Genau wie du es schreibst, mache ich es sowieso. ;-)
        Die automatische Synchronisierung drehe ich aus Prinzip nicht auf.
        Ich nutze dafür lieber myPhone Explorer unter Windows.
        Für Linux gibt es ja leider nichts Vergleichbares…

  5. Vorschlag: In kommenden Androidversionen muss das aufbauen von reinen http-Verbindungen an die Permission „App uses unencrypted connections“ gebunden werden. Außerdem sollte Google für die mitgelieferten Apps auch für alte Androidversionen sofort Updates bereitstellen.

  6. Danke für die Info!

    Kleiner Tipp am Rande, wer sein Android gerooted hat kann custom-roms aufspielen. Diese sind meist viel aktueller.
    Ich fahre auf meinem Motorola Milestone “Miui. 1.5.6 nach eybee” basierend auf Android 2.3.4.
    Aber auch die Cyanogenmod7’s sollen sehr gut sein, und sollten für fast alle Android Handys angepasst sein.

  7. Kann mich nur #9 raubwaldy anschließen. Ich selbst nutze ein HTC Hero mit 2.2.1 bzw. demnächst 2.3.4. Ausgeliefert wurde es mit 1.5, das Update auf 2.1 war totaler Müll. Nutze Elelinux auf diesem Handy, welches ein modifiziertes Cyanogen 6 ist.

    Ich poste einfach mal dreist meinen Link: http://blog.bmarwell.de/2010/12/31/android-2-2-fur-das-htc-hero/

    Schön, dass Google jetzt die Hersteller verpflichten will, wenigstens 18 Monate Updates nachzureichen. Passend zur deutschen Garantie&Gewährleistung fände ich 24 Monate aber gerechtfertigter. Lieber wenig gute Modelle als viel Technikschrott!

    • Klar, für viele Handys gibt es – zum Glück – Custom-Roms. Mache ich ja auch so, ich fahre aktuell LeeDroid auf meinem HTC Desire. Allerdings kann es ja nicht die Lösung des Problems sein, dass Kunden ein Custom-Rom einspielen müssen, bei dem das Risiko besteht das Gerät zu einem Backstein zu verwandeln und offiziell die Garantie zu verlieren. Von daher müssten da die Hersteller in meinen Augen auch offiziell eine Lösung für ältere Geräte anbieten.

  8. Google hat rasch reagiert und serverseitig gepatcht.
    Das erspart ein Android Update
    Siehe Artikel hier: http://derstandard.at/1304552285033/Update-Google-beseitigt-Sicherheitsluecke-bei-Android-rasch—fuer-alle

  9. Ich versteh den Stress nicht.
    Das der Datenverkehr in unverschlüsselten WLANs unverschlüsselt ist, ist ja keine besondere Neuigkeit und das das Probleme mit den Authentifizierungstokens ist auch spätenstens seit Firesheep bekannt..
    Also: Auch wenn google seine Apps absichert gibt’s noch eine Millionen Seiten bei denen das Problem weiter bestehen wird..
    Kann mich also #1 nur anschließen.

    • Biku, es macht doch sehr wohl einen Unterschied, ob eine x beliebige Seite eine ungesicherte Authentifizierung durchführt, oder eingebaute Dienste im Hintergrund permanent bei der automatisch aktivierten Synchronisierung ungesichert das Thoken übertragen. Aber generell pflichte ich dir bei, es gibt zu viele Seiten und Dienste die Zugangsdaten ungesichert übertragen.

Hinterlasse eine Antwort

Auf Linux und Ich darf anonym kommentiert werden. Die Felder für Name und E-Mail-Adresse dürfen beim Eintragen eures Kommentars leer bleiben. Ich freue mich aber über jeden Kommentar, zu dem der Autor mit seinem Namen steht.