News abonnieren
Pocketbrain.mobiAndroid-Sicherheitslücke
Google erzwingt Verschlüsselung
Die Sicherheitslücke, die Forscher am Institut für Medieninformatik der Universität Ulm aufgedeckt haben, wird jetzt zum Teil geschlossen. Wer in einem offenen WLAN-Netz den Authentifizierungs-Token abfängt, den drei Android-Anwendungen nutzen, um sich zu legitimieren, erhält Zugriff auf die bei Google hinterlegten Daten.
Der Token wird nicht verschlüsselt übertragen und kann auch bis zu zwei Wochen gültig bleiben. Das Problem besteht bei den Android-Apps für den Zugriff auf Kalender und Adressen bis einschließlich Android 2.3.3 und beim Zugriff auf Picasa-Fotoalben mit allen Android-Versionen.
In zwei der drei Fällen wird Google die Sicherheitslücke in Android schließenBei den ersten beiden Anwendungen erzwingt Google nun eine über HTTPS verschlüsselte Verbindung. Auf diese Weise kann der Token nicht mehr ausgelesen werden. Die Anpassung erfolgt auf dem Google-Server, die Anwendung selbst muss also nicht aktualisiert werden. An einer Lösung für die Picasa-App wird noch gearbeitet.
Oder ganz abkoppeln
Wer nicht warten möchte, bis das Update eingespielt worden ist, oder mehr Kontrolle über die Sicherheit des Datenverkehrs haben will, sollte die automatische Synchronisierung stoppen und den Datenabgleich nur in Netzen vornehmen, denen er vertraut.
Ein etwas radikalerer Schritt ist, Android ganz vom Google-Konto abzukoppeln. Alternativ kann man dann über ActiveSync auf die Google-Daten zugreifen.
