Android mit verheerender Lücke

Die Sicherheitslücke ist im Authentifizierungsprotokoll ClientLogin zu finden, wie Forscher der Uni Ulm herausgefunden haben. Dieses weist Schwachstellen auf, die es Hackern theoretisch ermöglichen, über WLAN private Daten vom Google-Kalender oder den gespeicherten Kontakten abzufangen. Betroffen sind alle Android-Versionen bis 2.3.3. Erst mit der aktuellsten Version 2.3.4 wurde die Sicherheitslücke offenbar geschlossen, diese ist jedoch erst für sehr wenige Geräte erhältlich. Gemäss der Studie sind somit 99,7 Prozent aller Android-Nutzer momentan von der Sicherheitslücke betroffen. Allerdings: Der Hack funktioniert nur, wenn man sich in einem ungesicherten WLAN-Netz befindet. Dann ist es möglich, die erwähnten Daten während der Synchronisation abzufangen, da diese bis Version 2.3.3 über eine nicht gesicherte Http-Verbindung übertragen werden. Da auch die Sicherheitsschlüssel, die zur Authentifizierung einer Sitzung dienen, sogenannte Token, unverschlüsselt übertragen werden und eine sehr lange Gültigkeit haben, können diese abgehört werden und danach zum Abfangen der Daten genutzt werden. Die Forscher warnen zudem, dass die Synchronisation von Googles Bildergalerie Picasa auch bei Android 2.3.4 noch nicht über eine sichere Https-Verbindung stattfindet.