Ulmer Forscher sorgen mit einer Meldung über eine Sicherheitslücke in Googles mobilem Betriebssystem Android für große Aufregung. Smartphones, die sich mit einem offenen WLAN verbinden, legen Kalendereinträge und Kontakte offen. Google versichert schnellstmögliche Abhilfe.

Die drei Ulmer Wissenschaftler werden begeistert sein, wie viel Aufmerksamkeit sie mit ihrer Meldung über unsichere Google-Dienste auf Android-Smartphones erregt haben. Sogar das renomierte US-Blog "Redmond Pie" berichtet darüber. Zu Recht, denn es besteht die Gefahr, dass ein Android-Telefon, das sich automatisch mit einem offenen WLAN verbindet, Kalendereinträge und Kontakte seines Nutzers preisgibt.

Nur wirklich neu ist die Erkenntnis, dass man nicht mit aktiviertem WLAN durch die Straßen spazieren sollte, nicht. Erst kürzlich berichtete die britische Tageszeitung "The Guardian" über ein Experiment. Sicherheitsexperten ahmten mit Hardware für weniger als 60 Euro und Gratis-Software an öffentlichen Plätzen populäre WLAN-Hotspots nach und lockten Test-Opfer mit ihrem Smartphone in die Falle. Dabei nutzten die Experten aus, dass sich viele Telefone automatisch mit Netzwerken verbinden, zu dem sie zuvor bereits Kontakt hatten. Die Experten konnten so vom Opfer unbemerkt Nutzernamen, Passwörter und andere persönliche Daten mitschneiden.

Auch iPhones betroffen

Möglich ist der Datendiebstahl unter anderem durch die erschreckende Tatsache, dass öffentliche Hotspots sich nur mit ihrem Namen identifizieren. Dies gilt für Gratis-WLAN von großen Kaffeehaus-Ketten ebenso wie für Hotspots von Mobilfunkbetreibern. UND: Davon sind alle WLAN-fähigen mobilen Geräte betroffen. Nicht nur Android-Telefone, sondern auch iPhones, Tablet-Rechner oder Notebooks.

Das eigentliche Problem sind aber nicht die Geräte, sondern Dienste, die auf ihnen installiert sind, die unverschlüsselt Daten übermitteln. Dazu gehören Facebook und Twitter, aber eben auch Google-Kalender und -Kontakte. Google-Nutzer müssen sich nur alle zwei Wochen mit Nutzernamen und Passwort bei den Google-Servern authentifizieren. Für den Zeitraum dazwischen erhalten die Dienste eine Blanko-Authentifizierung (authToken), die es ihnen erlaubt, bis zur nächsten kompletten Anmeldung mit den Google-Servern zu kommunizieren.

Während die Authentifizierung verschlüsselt abläuft, synchronisiert Google Kalendereinträge, -Kontakte und andere Dienste unverschlüsselt. Synchronisiert ein Android-Smartphone über eine WLAN-Falle, können Gangster unbemerkt mitlesen.

Google kümmert sich

Die Ulmer Wissenschaftler haben festgestellt, dass rund 99 Prozent aller Android-Smartphones gefährdet sind, da erst in der neuesten Gingerbread-Version 2.3.4 und im Tablet-Android 3.0 (Honeycomb) Dienste Daten verschlüsselt übertragen. Da aber von der Veröffentlichung bis zur Installation einer neuen Android-Version auf Smartphones gewöhnlich mehrere Wochen oder gar Monate vergehen, dauert es noch lange, bis wenigstens ein Großteil der Androiden geschützt synchronisiert. Und der Fotodienst Picasa bleibt vorerst auch im neuesten Gingerbread ungesichert. "Wir beginnen heute damit, eine potenzielle Sicherheitsschwachstelle zu schließen, die einem Dritten unter bestimmten Umständen Zugang zu Daten aus Kalender und Kontakten ermöglichte. Die Fehlerbehebung bedarf keiner aktiven Handlung durch die Nutzer und wird global über die nächsten Tage ausgeführt", erklärte Google-Sprecher Kay Oberbeck gegenüber n-tv.de.

Besitzer eines Android-Telefons sollten daher grundsätzlich die WLAN-Funktion deaktivieren und nur einschalten, wenn sie sich mit einem gesicherten Netzwerk verbinden. Dies gilt aber auch für alle anderen mobilen Geräte. Außerdem ist es ratsam, automatische Verbindungen zu offenen WLANs zu unterbinden. Dazu wählt man bei eingeschaltetem WLAN in den Einstellungen unter "Drahtlos und Netzwerk" die "WLAN-Einstellungen" aus, tippt eines der unsicheren gelisteten Netze an und wählt "Vergessen". Google-Nutzer, die sich trotzdem mit einem Hotspot verbinden möchten, sollten unter "Einstellungen" - "Konten und Synchronisierung" das Häkchen bei "Autom. synchronisieren" und "Hintergrunddaten" entfernen.

Um das Problem zu lösen, fordern die Ulmer Wissenschaftler unter anderem, dass Google die Gültigkeitsdauer der AuthTokens drastisch reduziert, Apps und Dienste Daten grundsätzlich https-verschlüsselt übertragen. Außerdem sollte in den Voreinstellungen die automatische Verbindungsaufnahme zu ungesicherten WLANs unterbunden sein.