Im Februar hatte der amerikanische Informatiker Dan Wallach auf die Sicherheitsprobleme einiger Andoid-Apps in offenen WLAN-Netzen
aufmerksam gemacht. In weiteren Forschungen stellten die Ulmer Wissenschaftler Bastian Könings, Jens Nickels und Florian Schaub nun eine weit größere Dimension der Sicherheitsproblematik fest: Das Datenleck betrifft die meisten Android-Apps und ist auch mit dem Update auf die aktuelle Andriod-Version 3.0 nur zum Teil gelöst.
Wie die Ulmer Forscher
berichten, liegt das Problem im so genannten Clientlogin, das Android-Apps verwenden, um einen Authentifizierungs-Token vom Google-Service zu erfragen. Dazu schickt die App einen Benutzernamen und ein Passwort über eine https-Verbindung an den Google-Service. Der Token, den der Google-Dienst zurückliefert, ist bis zu zwei Wochen lang gültig. Viele Anwendungen nutzen denselben Token weiterhin, wobei er regelmäßig über unverschlüsselte http-Verbindungen ausgetauscht wird. In einem ungesicherten WLAN-Netz können Angreifer den Datenverkehr daher leicht mitschneiden. Sie erhalten so vollen Zugriff auf den Kalender, die Kontakte oder auf private Bilder im Picasa-Web-Album. Dabei kann der Angreifer nicht nur jene Daten einsehen, die in der laufenden Verbindung synchronisiert werden, sondern auch alle weiteren Daten des Nutzers.
Das Problem betrifft die Android-Versionen 2.1, 2.2, 2.2.1 und 2.3.3. Sie übertragen die Token für Kalender und Kontakte nur über eine unverschlüsselte Http-Verbindung. Nach
Angaben von Google verwenden 94,4 Prozent der Android-Nutzer eine dieser Versionen. In Version 2.3.4 synchronisieren Kalender und Kontakte zwar per https, Picasa jedoch nicht. Ob Version 3.0 auch Picasa-Daten verschlüsselt synchronisiert, ist nicht bekannt.
Selbst wenn Google künftige Android-Versionen in dieser Hinsicht verbessert und auch andere Daten über gesicherte Verbindungen synchronisiert, wird es noch einige Zeit dauern, bis Android-Nutzer nicht mehr in Gefahr sind: Jedes Android-Update muss erst von Herstellern und Providern auf den jeweiligen Gerätetyp angepasst werden, bevor es der Besitzer des Smartphone installieren kann — entsprechend lange dauert es, bis die Nutzer in den Genuss eines gepatchten Betriebssystems kommen. Auf einer Entwicklerkonferenz hat Google angekündigt, diesen Zustand ändern und den Update-Prozess vereinfachen zu wollen.