Datensicherheit: Während Untersuchungen zu seiner Bachelorarbeit stieß ein Student der Medieninformatik an der Universität Ulm, auf eine kritische Sicherheitslücke im Smartphone-Betriebssystem Android. Google reagierte erst auf öffentlichen Druck und will jetzt zügig nachbessern.

Der Student Jens Nickels fand heraus: Melden sich Nutzer bei Googles Kalenderdienst, Kontakteverwaltung oder dem Bilderdienst Picasa an, werden die Authentifizierungsdaten unverschlüsselt übertragen.

Nickels stellte fest, dass Angreifer in ungeschützten WLANs den Anmeldungsschlüssel für die Google-Dienste abfangen können. Dieser Schlüssel, auch Token genannt, wird von Google erst nach zwei Wochen neu generiert und kann so lange missbraucht werden. Möglich ist dies, weil anders als für Googles E-Mail-Dienst und die Text- und Tabellenanwendung keine SSL-verschlüsselte Verbindung aufgebaut wird.

Bereits Ende April wies Nickels gemeinsam mit seinen Betreuern Google auf das Problem hin. Der US-Konzern wollte zunächst nur in einem neuen Software-Update das Problem beheben. Bis dieses bei den Nutzern angekommen wäre, hätte das aber Monate dauern können. Erst nachdem die Ulmer auf der Universitätswebsite über die Lücke berichteten, kamen die Dinge schneller ins Rollen.

Vergangenen Mittwoch kündigte Google an, die Schwachstelle in den nächsten Tagen über eine zentral vorgenommene Konfigurationsänderung zu schließen. Für die Kalender- und Kontakteanwendung wird eine SSL-Verschlüsselung eingerichtet. Für Picasa ist das jedoch nicht möglich. Hier bleibt das Problem so lange bestehen, bis für das Betriebssystem ein Update zur Verfügung steht.

Nickels wünscht sich, dass "Leuten, die solche Sicherheitslücken entdecken, von den Herstellern mehr Aufmerksamkeit entgegenkommt, damit es in Zukunft nicht mehr nötig ist, die Öffentlichkeit als Druckmittel einzusetzen und sie so auch zeitweise einer gewissen Gefahr auszusetzen". Gerade kritische Sicherheitslücken müssten "schnellstmöglich" geschlossen werden, da man nie wisse, wer sie ausnutzt.

Nachgewiesen haben die Ulmer Forscher es ab Version 2.1. Nickels sagt: "Diese Sicherheitslücke ist eigentlich recht einfach zu entdecken und wäre vor allem sehr leicht zu verhindern gewesen." Eine Lücke dieser Art hätte seiner Ansicht nach in einer internen Sicherheitsanalyse auffallen müssen.

Für alle, die den Eindruck haben, dass sie bereits angegriffen wurden, hat Nickels Betreuer Bastian Könings einen Tipp parat: "Einfach das Google-Passwort ändern, dann werden sich auch die Token ändern."

Quelle: vdi-nachrichten.com