"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Datenleck in Android

Spikx 17.05.2011 - 20:25 1337 4
Posts

Spikx

My Little Pwny
Avatar
Registered: Jan 2002
Location: Scotland
Posts: 13504
Vor kurzem wurde bekannt, dass im Betriebssystem Android ein großes Loch existiert: die Authentifizierung für einen Calendar Sync, Contacts Sync oder für Picasa passiert ohne Verschlüsselung und die Authentification Tokens sind über mehrere Tage hinweg gültig. Über unverschlüsselte WLANs mit gängigem Namen, zu dem sich die Android Phones unter Umständen automatisch verbinden, könnten diese Tokens bequem eingesammelt werden.

Zwar verwendet Google für Calendar und Contacts Sync seit Android 2.3.4 mittlerweile HTTPS, für Picasa jedoch nicht und nur ein minimaler Anteil an Android Phones verwenden überhaupt schon diese Version.

Spiegel: Deutsche Forscher finden Datenleck in Android - Catching AuthTokens in the Wild

HaBa

Legend
Dr. Funkenstein
Avatar
Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19725
Mit "Android" kauft man sich doch schon per se ein Datenleck, das da erweitert nur den Kreis der Leute die zugreifen können :D

rastullah

Here to stay
Avatar
Registered: Oct 2004
Location: Speckgürtel
Posts: 2688
Is das nicht bei allen Betriebssystemen heute so Haba (ausgenommen beim Symbian am 20€ Nokia)?

Spikx

My Little Pwny
Avatar
Registered: Jan 2002
Location: Scotland
Posts: 13504
Google beseitigt Sicherheitslücke bei Android rasch - für alle
Zitat
Auch wenn man keine technischen Details liefert, wechselt Google also wohl einfach auf eine andere, sichere Form der Authentifizierung für die mobilen Versionen von Calendar und Contacts. Ein Android-Update - wie manche BeobachterInnen befürchteten - ist hierfür also nicht vonnöten. Eine kleine Einschränkung: Der Fix ist derzeit nur für Google Calendar und Contacts aktiv, beim ebenfalls betroffenen Picasa brütet man hingegen noch über einer Lösung. Warum die Situation hier komplizierter ist, lässt Google ebenfalls offen. Wer ganz sicher gehen will, verzichtet also entweder weiterhin auf die Nutzung von offenen WLAN-Netzen oder deaktiviert in den Einstellungen die automatische Synchronisierung mit Picasa - die ohnehin nicht bei allen Geräten aktiv ist.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16837
Offene WLANs ist halt irreführend, weils doch genauso netze mit Shared Key betrifft.

Ich bin absolut kein fan des Android Konzept mit seinen Nachteilen bezüglich onlinesyncing, fingerprinting der smartphones usw. ABER

das Problem haben vermutlich 90% aller apps die nicht auf SSL zurückgreifen. Wenn sie die umstellung ohne updates schaffen, kommens mit einem blauen auge davon - ansonsten gute nacht bei dem updatevorgang.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz