Mobiles Betriebssystem Google schließt Android-Lücke nicht vollständig

Android-Geräte übertragen Anmeldedaten teilweise unverschlüsselt und machen sich damit angreifbar. Google arbeitet an der Beseitigung der Lücke. Doch das kann dauern.

© Justin Sullivan/Getty Images

Ein Android-Tablet, fotografiert von einem iPhone

Android-Geräte haben eine praktische Funktion namens Autosync. Sie erlaubt es, die Daten auf dem Handy oder Tablet ständig mit der Cloud abzugleichen, also mit Servern von Google, auf denen sie gespeichert sind. So gehen keine Daten verloren. Zumindest theoretisch.

In der Praxis ist die Kommunikation einiger Dienste auf dem Gerät mit dem Googleserver nicht verschlüsselt. Was bedeutet, dass sie abgehört werden kann. Das hatte Dan Wallach, ein Professor der Rice University in Texas, im Februar in einem Blogbeitrag berichtet. Er hatte es mit seinen Studenten herausgefunden, während eines Kurses über Computersicherheit.

Verbindet sich das Gerät mit dem Netz, tauschen die Programme Google Calendar, Google Contacts und Picasa ihre Daten mit dem Netz, ohne sie zu verschlüsseln. In einem offenen WLAN könne diese Kommunikation von jedem mitgeschnitten und mitgelesen werden, der ein entsprechendes Programm benutzt, vermutete Wallach. Zwei deutsche Forscher haben das nun belegt, wie Spiegel Online berichtet. Und sie haben dabei ein erhebliches Problem dieser Verbindung entdeckt.

Bastian Könings von der Universität Ulm schildert gegenüber Spiegel Online folgendes Szenario: Ein Angreifer muss nur ein offenes WLAN aufsetzen und ihm einen beliebten Netzwerk-Namen geben, wie er beispielsweise in Café-Ketten oder Flughafen-Lounges vergeben wird. Jedes Android-Handy, das in Reichweite dieses Hot Spots kommt und schon einmal bei einem Netzwerk diesen Namens angemeldet war, würde sich unbemerkt automatisch mit dem neuen WLAN verbinden. Der Angreifer kann dann alle Daten, die im Laufe der Verbindung übertragen werden, abfangen.

Der Haken dabei: Während der Verbindung werden bestimmte Dateien hin- und hergereicht, die zur Identifizierung des Gerätes und des Nutzers dienen, sogenannte AuthTokens. Bei dem Verfahren, das Google nutzt, sendet der Nutzer zum Einloggen über eine sichere Verbindung seinen Benutzernamen und sein Passwort. Als Antwort erhält sein Gerät einen solchen Token, eine kleine Datei. Diese identifiziert das Gerät bei weiteren Kontakten mit dem Dienst, ohne dass noch einmal ein Passwort eingegeben werden muss. Bis zu zwei Wochen sei ein solcher Token gültig, schreiben die hackenden Autoren.

Ist jede Verbindung verschlüsselt, ist das kein Problem. Ist ein Kontakt aber nicht kodiert, können die dabei verschickten Tokens gefunden und abgefangen werden. Da sie nicht an eine bestimmte Sitzung oder ein Programm gebunden sind, sondern generell als Identifizierung für alle Googledienste gelten, lässt sich mit ihnen Unsinn treiben. Könings, Jens Nickels und Florian Schaub von der Uni Ulm haben das versucht, und es ist ihnen gelungen. Mit einem solchen Token kann sich ein Eindringling allen Diensten gegenüber als der betreffende Nutzer ausgeben und diese einsehen und verändern.

Diese Art des Angriffs ist nicht neu. Vor einiger Zeit erst demonstrierte ein Programmierer mit dem Programm Firesheep, dass sich so beispielsweise ein Facebook-Account problemlos kapern lässt. Auch dabei gelang der Hack nur, wenn die Login-Daten über das normale Internetprotokoll http übertragen werden. Geschieht dies über das gesicherte Protokoll https, ist die Übernahme nicht möglich.