Der Großteil der Geräte mit Googles Android Betriebssystem ist durch Angriffe auf Zugangsdaten auf Kalender, Kontaktadressen gefährdet, schreibt The Register. Ein Expertenteam der Universität Ulm in Deutschland hat eine Sicherheitslücke entdeckt, wodurch Angreifer sensible Daten über unsichere Netze wie offene WLAN-Hotspots stehlen können.

Ursache

Verursacht wird die Lücke durch eine ungenaue Implementierung eines Authentifizierungsprotokolls, bekannt als ClientLogin, bei Android 2.3.3 und älteren Versionen. Sobald ein User in Google Calendar und Contacts einsteigt, ruft das Interface den Identifizierungstoken ab. Da der Token bis zu 14 Tagen gültig ist, können Angreifer ihn für einen unerlaubten Zugriff auf Userkonten nutzen.
Mit dem Release von Android 2.3.4 stopfte Google ein Sicherheitsloch im Februar, das Twitter und Facebook betraf. Jedoch werden immer noch bei der Synchronisierung mit Picasa Web Albums sensible Daten durch unverschlüsselte Kanäle schleust. Nach Angaben der Forscher sind 99 Prozent der Android-basierten Geräte von der Sicherheitslücke betroffen.

Behebung

"Wir sind uns des Themas bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen", sagte ein Google-Sprecher am Mittwoch auf dpa-Anfrage. Eine kürzere Gültigkeitsdauer der ID-Tokens, so die Ulmer IT-Forscher, würde zu einer Erhöhung der Sicherheit beitragen. Vergangene Woche kündigte der Internetkonzern Pläne zur Zusammenarbeit mit Anbietern wie Verizon an, damit diese rascher Android Updates erhalten.

Unverschlüsselte Verbindung

Sicherheitsexperten warnen allerdings generell immer wieder davor, Daten in offenen WLAN-Netzen zu versenden. Das gilt nicht nur für Smartphones. Zugleich ist die unverschlüsselte Verbindung zu Webdiensten ein bekanntes Problem. Große Aufregung gab es vor ein paar Monaten, als Sicherheitsexperten demonstrierten, wie leicht etwa Facebook- oder Twitter-Sitzungen gekapert werden können, wenn ein Angreifer die unverschlüsselt gesendeten Verbindungsinformationen abgreift. Die Dienste bieten inzwischen die sichere Verbindung über das Protokoll HTTPS an. Auch die betroffenen Google-Apps greifen in den neueren Android-Versionen laut den Ulmer Forschern zu HTTPS. (red/APA, derStandard.at, 18. Mai 2011)