# taz.de -- Ulmer Forscher über Google-Android: "Grob fahrlässig"
> Sicherheitsforscher Bastian Könings von der Uni in Ulm über eine
> schwerwiegende Lücke in den Android-Handys. Und welche Gefahren den
> Nutzern solcher Geräte künftig drohen könnten.
(IMG) Bild: Die Probleme sind noch nicht gelöst: Datenleck bei Google-Android.
taz.de: Herr Könings, die von Ihnen und Ihrem Team entdeckte Android-Lücke
hat ja mittlerweile hohe Wellen geschlagen. Hätten Sie gedacht, dass es das
Thema auf die Titelseiten großer Medien schafft?
Bastian Könings: Nein, das hätten wir in diesem Ausmaße sicherlich nicht
erwartet. Allerdings freut es uns sehr, da wir einerseits insbesondere bei
Besitzern mobiler Geräte das Bewusstsein für derartige Gefahren stärken
wollten. Die Gefahr, die von der Verwendung offener unverschlüsselter Wlans
ausgeht, ist leider den meisten Benutzern nicht wirklich bewusst.
Andererseits wurde durch das enorme Pressecho der Druck auf Google erhöht,
die nun auch schnell reagiert haben.
Ist die Sicherheitslücke bereits missbraucht worden? Und wenn ja, was hätte
schlimmstenfalls passieren können?
Mir sind keine konkreten Fälle bekannt, bei denen diese Lücke ausgenutzt
wurde. Da Android-Smartphones aber nun schon seit fast drei Jahren auf dem
Markt sind, kann man dies natürlich nicht ausschließen. Das heißt,
Angreifer hätten im schlimmsten Fall Kontakte oder Kalender-Daten löschen
und auch verändern können. Wenn so eine Veränderung - z.B. das Ändern einer
E-Mail-Adresse - nicht bemerkt wird, könnte ein Angreifer an sensible
E-Mails gelangt sein.
Wie haben Sie die Sicherheitslücke entdeckt?
Im Rahmen der Bachelorarbeit von Jens Nickels untersuchen wir das
Betriebssystem Android grundlegend auf Sicherheit und Privatsphäre. Die
Analyse des Datenverkehrs, der zwischen dem Gerät und den Google-eigenen
Diensten wie "Calendar" und "Contacts" ausgetauscht wird, war ein
Teilaspekt dieser Arbeit.
Wir sind schon durch den amerikanischen Kollegen Dan Wallach darauf
aufmerksam gemacht worden, dass Teile dieses Datenaustausches nicht
verschlüsselt sind. Allerdings war die Bedeutung dieser unverschlüsselten
Übertragung unklar. Durch das Abfangen eines ebenfalls unverschlüsselten
Berechtigungsschlüssels, AuthToken genannt, bekommt ein Angreifer vollen
Zugriff auf sämtliche Kontakt- und Kalender-Daten.
Google ist ein renommiertes Unternehmen, das ja intensive Softwaretests
durchführen müsste. Wie kann so etwas übersehen werden?
Das ist eine Frage, die wir uns ebenfalls gestellt haben und ehrlich gesagt
keine zufriedenstellende Antwort darauf geben können. Wenn es bewusst aus
Kosten- oder Performance-Gründen war, dann war diese Entscheidung meines
Erachtens grob fahrlässig. Dass dieses Problem tatsächlich übersehen wurde,
ist für mich allerdings auch fragwürdig. Eine Stellungnahme seitens Google
wäre hier sicherlich interessant.
Das Problem offener Wlans ist zumindest für diejenigen, die sich intensiver
mit Rechnern beschäftigen, schon länger bekannt. Ist hier noch mehr
Aufklärung darüber nötig, dass ein solches Netz [1][grundsätzlich
potenziell "feindlich"] ist, wenn man achtlos etwa in einem Café lossurft?
Auf jeden Fall. Natürlich kann man nicht erwarten, dass jeder Nutzer die
komplexen Techniken der modernen Kommunikation versteht. Das Bewusstsein
potenzieller Gefahren bei der Benutzung offener und nicht verschlüsselter
Wlans sollte bei den Benutzern aber definitiv gestärkt werden. Gleichzeitig
sollten Hersteller aber auch ein größeres Verantwortungsbewusstsein für die
Sicherheit von sensiblen Nutzerdaten zeigen.
Bisher schien es so, dass Sicherheitslücken auf Smartphones eher
theoretischer Natur waren. Wann kommen "echte" Angriffe? Oder gibt es die
schon?
Uns sind zumindest keine genauen Zahlen bekannt. Man kann aber davon
ausgehen, dass Smartphones durch ihre steigende Verbreitung und auch durch
die zahlreichen Erweiterungsmöglichkeiten durch die Apps von Drittanbietern
ein immer interessanteres Ziel für potenzielle Angreifer sein werden.
Google hat angekündigt, das Problem selbst zu lösen, ohne dass Nutzer
eingreifen müssten. Das ist auch deshalb erstaunlich, weil es lange hieß,
das sei ohne "richtiges" Android-Upgrade gar nicht möglich.
Richtig. Google scheint eine Möglichkeit zu haben, gewisse Konfigurationen
auf den Smartphones zu aktualisieren. Die Änderungen, die dazu notwendig
sind, sind minimal. Wie genau diese Aktualisierung abläuft, ist mir
allerdings nicht bekannt. Bei unseren ersten Anfragen an Google wurde uns
lediglich mitgeteilt, dass das Problem in der neusten Version 2.3.4 behoben
sei. Auf unsere Nachfrage, ob auch eine alternative Update-Möglichkeit für
ältere Versionen bestünde, bekamen wir erst nach der Medien-Aufregung eine
Antwort.
Und wie löst Google dieses Problem?
Es muss eine Veränderung auf dem Gerät stattfinden, die von Google
gesteuert wird. Wie genau die abläuft, ist uns nicht bekannt. Eine
Veränderung nur auf Server-Seite reicht zur Lösung des Problems nicht aus.
Wie schwerwiegend ist das Problem der sogenannten [2][Fragmentierung], also
der Tatsache, dass die unterschiedlichsten Android-Versionen genutzt werden
und nur die wenigsten Menschen sofort aktualisieren, wenn eine neue Version
erscheint?
Natürlich ist es ein großes Problem, wenn es sich um sicherheitsrelevante
Updates handelt, da diese möglichst schnell verfügbar sein sollten. Das ist
insbesondere wichtig, wenn Sicherheitslücken entdeckt werden, die sich auf
der System-Ebene von Android befinden und nicht durch Konfigurations-
beziehungsweise Anwendungs-Updates behoben werden können. Hier sollte
definitiv ein Weg gefunden werden, den Prozess zu beschleunigen. Aber das
scheint Google nach den neusten Informationen ja nun auch anzustreben.
Was könnte Google hier anders machen? Welche Rolle spielen Netzbetreiber
und Gerätehersteller?
Google versucht bereits, Geräte-Hersteller zu zeitnahen Updates zu
verpflichten. Eine weitere Möglichkeit wäre es, dass Hersteller und
Netzbetreiber auf komplexe Erweiterungen verzichten. So müssten diese nicht
bei jedem Update ebenfalls angepasst werden. Allerdings hätten die
Hersteller dann wiederum weniger Möglichkeiten, sich von anderen
Herstellern abzugrenzen, wie es der Hersteller HTC beispielsweise mit
seiner "Sense"-Erweiterung macht.
Ist ein System wie das von Apple mit dem iPhone sicherer, weil hier ein
Hersteller die volle Kontrolle hat?
Es ist deswegen nicht grundsätzlich sicherer, aber man hat definitiv einen
Vorteil bei zeitkritischen Updates, wie man auch bei der letzten
Aktualisierung des iOS hinsichtlich der Speicherung von Ortsdaten gesehen
hat. Dieses Beispiel zeigt aber gleichzeitig, dass auch Apple nicht immer
verantwortungsbewusst mit sensiblen Nutzerdaten umgeht.
Welche Probleme erwarten sie zukünftig beim Thema mobile Sicherheit?
Leider ist davon auszugehen, dass durch den größeren Absatz von Smartphones
auch das Gefahrenpotential steigen wird. Wir hoffen deshalb, dass gerade
die Hersteller in Zukunft verstärkt auf die Sicherheit und den Schutz von
Nutzerdaten eingehen werden. Wir haben das Gefühl, dass das weiter
vernachlässigt wird.
Gleichzeitig ist es wichtig, dass Benutzer ein besseres Bewusstsein für
persönlichen Daten im Netz bekommen. Leider wird die Bedeutung den meisten
erst dann bewusst, wenn ein Schaden bereits entstanden ist.
23 May 2011
## LINKS
(DIR) [1] /1/netz/netzgeraete/artikel/1/wie-firesheep-facebook-kapert/
(DIR) [2] http://www.businessinsider.com/google-is-battling-android-fragmentation-2011-5
## AUTOREN
(DIR) Ben Schwan
## ARTIKEL ZUM THEMA
(DIR) Suchmaschine mit neuen Funktionen: Google gehorcht aufs Wort
Google hat seine Suchmaschine um neue Funktionen erweitert, von denen
einige futuristisch wirken: So lässt sich das Netz künftig per Sprache oder
Bild durchforsten.
(DIR) Abbuchungen vom NFC-Handy: "Kann ich auch mit Google zahlen?"
Immer mehr Smartphones mit Googles Betriebssystem Android besitzen einen
NFC-Chip. Damit könnten in Zukunft Kreditkarten überflüssig werden.
(DIR) Google und Schnüffelwerbung: "Ich glaub', es trackt"
Als einziger großer Browser-Anbieter möchte Google nicht am "Do Not
Track"-Konzept teilnehmen. Das soll in den USA das Abschalten von
Schnüffelwerbung erleichtern.
(DIR) Zeitungsarchive online: Google gibt auf
Eigentlich wollte Google das größte digitale Zeitungsarchiv der Welt
erstellen. Damit ist jetzt Schluss. Stattdessen will der Konzern Zeitungen
helfen, online Geld zu verdienen.
(DIR) Sicherheitslücke bei Google: Androiden voller Löcher
Forscher aus Ulm haben Fehler in Googles mobilem Betriebssystem entdeckt:
Programme schicken Daten im Klartext, Sicherheits-Updates sind
problematisch.
(DIR) Software-Entwickler über Apps: "Der Konkurrenzkampf ist groß"
Der Hype um Miniprogramme und Spiele für iPhone, Android und Co. ist
ungebrochen. Millionär wird man dabei selten, meint der Berliner Entwickler
Severin Brettmeister.
(DIR) Diskussion um iPhone-Ortung: Apple-Chef verteidigt Tracking
Apple-Chef Steve Jobs hat die kritisierte Ortsbestimmung des iPhones
verteidigt. Die lange Speicherung sei aber ein Software-Fehler. Apple sei
auch bereit, vor dem US-Kongress auszusagen.