 |
# taz.de -- Ulmer Forscher über Google-Android: "Grob fahrlässig" |
|
|
|
> Sicherheitsforscher Bastian Könings von der Uni in Ulm über eine |
|
> schwerwiegende Lücke in den Android-Handys. Und welche Gefahren den |
|
> Nutzern solcher Geräte künftig drohen könnten. |
|
|
 |
Bild: Die Probleme sind noch nicht gelöst: Datenleck bei Google-Android. |
|
|
|
taz.de: Herr Könings, die von Ihnen und Ihrem Team entdeckte Android-Lücke |
|
hat ja mittlerweile hohe Wellen geschlagen. Hätten Sie gedacht, dass es das |
|
Thema auf die Titelseiten großer Medien schafft? |
|
|
|
Bastian Könings: Nein, das hätten wir in diesem Ausmaße sicherlich nicht |
|
erwartet. Allerdings freut es uns sehr, da wir einerseits insbesondere bei |
|
Besitzern mobiler Geräte das Bewusstsein für derartige Gefahren stärken |
|
wollten. Die Gefahr, die von der Verwendung offener unverschlüsselter Wlans |
|
ausgeht, ist leider den meisten Benutzern nicht wirklich bewusst. |
|
Andererseits wurde durch das enorme Pressecho der Druck auf Google erhöht, |
|
die nun auch schnell reagiert haben. |
|
|
|
Ist die Sicherheitslücke bereits missbraucht worden? Und wenn ja, was hätte |
|
schlimmstenfalls passieren können? |
|
|
|
Mir sind keine konkreten Fälle bekannt, bei denen diese Lücke ausgenutzt |
|
wurde. Da Android-Smartphones aber nun schon seit fast drei Jahren auf dem |
|
Markt sind, kann man dies natürlich nicht ausschließen. Das heißt, |
|
Angreifer hätten im schlimmsten Fall Kontakte oder Kalender-Daten löschen |
|
und auch verändern können. Wenn so eine Veränderung - z.B. das Ändern einer |
|
E-Mail-Adresse - nicht bemerkt wird, könnte ein Angreifer an sensible |
|
E-Mails gelangt sein. |
|
|
|
Wie haben Sie die Sicherheitslücke entdeckt? |
|
|
|
Im Rahmen der Bachelorarbeit von Jens Nickels untersuchen wir das |
|
Betriebssystem Android grundlegend auf Sicherheit und Privatsphäre. Die |
|
Analyse des Datenverkehrs, der zwischen dem Gerät und den Google-eigenen |
|
Diensten wie "Calendar" und "Contacts" ausgetauscht wird, war ein |
|
Teilaspekt dieser Arbeit. |
|
|
|
Wir sind schon durch den amerikanischen Kollegen Dan Wallach darauf |
|
aufmerksam gemacht worden, dass Teile dieses Datenaustausches nicht |
|
verschlüsselt sind. Allerdings war die Bedeutung dieser unverschlüsselten |
|
Übertragung unklar. Durch das Abfangen eines ebenfalls unverschlüsselten |
|
Berechtigungsschlüssels, AuthToken genannt, bekommt ein Angreifer vollen |
|
Zugriff auf sämtliche Kontakt- und Kalender-Daten. |
|
|
|
Google ist ein renommiertes Unternehmen, das ja intensive Softwaretests |
|
durchführen müsste. Wie kann so etwas übersehen werden? |
|
|
|
Das ist eine Frage, die wir uns ebenfalls gestellt haben und ehrlich gesagt |
|
keine zufriedenstellende Antwort darauf geben können. Wenn es bewusst aus |
|
Kosten- oder Performance-Gründen war, dann war diese Entscheidung meines |
|
Erachtens grob fahrlässig. Dass dieses Problem tatsächlich übersehen wurde, |
|
ist für mich allerdings auch fragwürdig. Eine Stellungnahme seitens Google |
|
wäre hier sicherlich interessant. |
|
|
|
Das Problem offener Wlans ist zumindest für diejenigen, die sich intensiver |
|
mit Rechnern beschäftigen, schon länger bekannt. Ist hier noch mehr |
|
Aufklärung darüber nötig, dass ein solches Netz [1][grundsätzlich |
|
potenziell "feindlich"] ist, wenn man achtlos etwa in einem Café lossurft? |
|
|
|
Auf jeden Fall. Natürlich kann man nicht erwarten, dass jeder Nutzer die |
|
komplexen Techniken der modernen Kommunikation versteht. Das Bewusstsein |
|
potenzieller Gefahren bei der Benutzung offener und nicht verschlüsselter |
|
Wlans sollte bei den Benutzern aber definitiv gestärkt werden. Gleichzeitig |
|
sollten Hersteller aber auch ein größeres Verantwortungsbewusstsein für die |
|
Sicherheit von sensiblen Nutzerdaten zeigen. |
|
|
|
Bisher schien es so, dass Sicherheitslücken auf Smartphones eher |
|
theoretischer Natur waren. Wann kommen "echte" Angriffe? Oder gibt es die |
|
schon? |
|
|
|
Uns sind zumindest keine genauen Zahlen bekannt. Man kann aber davon |
|
ausgehen, dass Smartphones durch ihre steigende Verbreitung und auch durch |
|
die zahlreichen Erweiterungsmöglichkeiten durch die Apps von Drittanbietern |
|
ein immer interessanteres Ziel für potenzielle Angreifer sein werden. |
|
|
|
Google hat angekündigt, das Problem selbst zu lösen, ohne dass Nutzer |
|
eingreifen müssten. Das ist auch deshalb erstaunlich, weil es lange hieß, |
|
das sei ohne "richtiges" Android-Upgrade gar nicht möglich. |
|
|
|
Richtig. Google scheint eine Möglichkeit zu haben, gewisse Konfigurationen |
|
auf den Smartphones zu aktualisieren. Die Änderungen, die dazu notwendig |
|
sind, sind minimal. Wie genau diese Aktualisierung abläuft, ist mir |
|
allerdings nicht bekannt. Bei unseren ersten Anfragen an Google wurde uns |
|
lediglich mitgeteilt, dass das Problem in der neusten Version 2.3.4 behoben |
|
sei. Auf unsere Nachfrage, ob auch eine alternative Update-Möglichkeit für |
|
ältere Versionen bestünde, bekamen wir erst nach der Medien-Aufregung eine |
|
Antwort. |
|
|
|
Und wie löst Google dieses Problem? |
|
|
|
Es muss eine Veränderung auf dem Gerät stattfinden, die von Google |
|
gesteuert wird. Wie genau die abläuft, ist uns nicht bekannt. Eine |
|
Veränderung nur auf Server-Seite reicht zur Lösung des Problems nicht aus. |
|
|
|
Wie schwerwiegend ist das Problem der sogenannten [2][Fragmentierung], also |
|
der Tatsache, dass die unterschiedlichsten Android-Versionen genutzt werden |
|
und nur die wenigsten Menschen sofort aktualisieren, wenn eine neue Version |
|
erscheint? |
|
|
|
Natürlich ist es ein großes Problem, wenn es sich um sicherheitsrelevante |
|
Updates handelt, da diese möglichst schnell verfügbar sein sollten. Das ist |
|
insbesondere wichtig, wenn Sicherheitslücken entdeckt werden, die sich auf |
|
der System-Ebene von Android befinden und nicht durch Konfigurations- |
|
beziehungsweise Anwendungs-Updates behoben werden können. Hier sollte |
|
definitiv ein Weg gefunden werden, den Prozess zu beschleunigen. Aber das |
|
scheint Google nach den neusten Informationen ja nun auch anzustreben. |
|
|
|
Was könnte Google hier anders machen? Welche Rolle spielen Netzbetreiber |
|
und Gerätehersteller? |
|
|
|
Google versucht bereits, Geräte-Hersteller zu zeitnahen Updates zu |
|
verpflichten. Eine weitere Möglichkeit wäre es, dass Hersteller und |
|
Netzbetreiber auf komplexe Erweiterungen verzichten. So müssten diese nicht |
|
bei jedem Update ebenfalls angepasst werden. Allerdings hätten die |
|
Hersteller dann wiederum weniger Möglichkeiten, sich von anderen |
|
Herstellern abzugrenzen, wie es der Hersteller HTC beispielsweise mit |
|
seiner "Sense"-Erweiterung macht. |
|
|
|
Ist ein System wie das von Apple mit dem iPhone sicherer, weil hier ein |
|
Hersteller die volle Kontrolle hat? |
|
|
|
Es ist deswegen nicht grundsätzlich sicherer, aber man hat definitiv einen |
|
Vorteil bei zeitkritischen Updates, wie man auch bei der letzten |
|
Aktualisierung des iOS hinsichtlich der Speicherung von Ortsdaten gesehen |
|
hat. Dieses Beispiel zeigt aber gleichzeitig, dass auch Apple nicht immer |
|
verantwortungsbewusst mit sensiblen Nutzerdaten umgeht. |
|
|
|
Welche Probleme erwarten sie zukünftig beim Thema mobile Sicherheit? |
|
|
|
Leider ist davon auszugehen, dass durch den größeren Absatz von Smartphones |
|
auch das Gefahrenpotential steigen wird. Wir hoffen deshalb, dass gerade |
|
die Hersteller in Zukunft verstärkt auf die Sicherheit und den Schutz von |
|
Nutzerdaten eingehen werden. Wir haben das Gefühl, dass das weiter |
|
vernachlässigt wird. |
|
|
|
Gleichzeitig ist es wichtig, dass Benutzer ein besseres Bewusstsein für |
|
persönlichen Daten im Netz bekommen. Leider wird die Bedeutung den meisten |
|
erst dann bewusst, wenn ein Schaden bereits entstanden ist. |
|
|
|
23 May 2011 |
|
|
|
## LINKS |
|
|
 |
[1] /1/netz/netzgeraete/artikel/1/wie-firesheep-facebook-kapert/ |
|
[2] http://www.businessinsider.com/google-is-battling-android-fragmentation-201… |
|
|
|
## AUTOREN |
|
|
|
Ben Schwan |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Suchmaschine mit neuen Funktionen: Google gehorcht aufs Wort |
|
|
|
Google hat seine Suchmaschine um neue Funktionen erweitert, von denen |
|
einige futuristisch wirken: So lässt sich das Netz künftig per Sprache oder |
|
Bild durchforsten. |
|
|
|
Abbuchungen vom NFC-Handy: "Kann ich auch mit Google zahlen?" |
|
|
|
Immer mehr Smartphones mit Googles Betriebssystem Android besitzen einen |
|
NFC-Chip. Damit könnten in Zukunft Kreditkarten überflüssig werden. |
|
|
|
Google und Schnüffelwerbung: "Ich glaub', es trackt" |
|
|
|
Als einziger großer Browser-Anbieter möchte Google nicht am "Do Not |
|
Track"-Konzept teilnehmen. Das soll in den USA das Abschalten von |
|
Schnüffelwerbung erleichtern. |
|
|
|
Zeitungsarchive online: Google gibt auf |
|
|
|
Eigentlich wollte Google das größte digitale Zeitungsarchiv der Welt |
|
erstellen. Damit ist jetzt Schluss. Stattdessen will der Konzern Zeitungen |
|
helfen, online Geld zu verdienen. |
|
|
|
Sicherheitslücke bei Google: Androiden voller Löcher |
|
|
|
Forscher aus Ulm haben Fehler in Googles mobilem Betriebssystem entdeckt: |
|
Programme schicken Daten im Klartext, Sicherheits-Updates sind |
|
problematisch. |
|
|
|
Software-Entwickler über Apps: "Der Konkurrenzkampf ist groß" |
|
|
|
Der Hype um Miniprogramme und Spiele für iPhone, Android und Co. ist |
|
ungebrochen. Millionär wird man dabei selten, meint der Berliner Entwickler |
|
Severin Brettmeister. |
|
|
|
Diskussion um iPhone-Ortung: Apple-Chef verteidigt Tracking |
|
|
|
Apple-Chef Steve Jobs hat die kritisierte Ortsbestimmung des iPhones |
|
verteidigt. Die lange Speicherung sei aber ein Software-Fehler. Apple sei |
|
auch bereit, vor dem US-Kongress auszusagen. |
