Datenleck in Android
Spikx 17.05.2011 - 20:25 1335 4
Spikx
My Little Pwny
|
Vor kurzem wurde bekannt, dass im Betriebssystem Android ein großes Loch existiert: die Authentifizierung für einen Calendar Sync, Contacts Sync oder für Picasa passiert ohne Verschlüsselung und die Authentification Tokens sind über mehrere Tage hinweg gültig. Über unverschlüsselte WLANs mit gängigem Namen, zu dem sich die Android Phones unter Umständen automatisch verbinden, könnten diese Tokens bequem eingesammelt werden. Zwar verwendet Google für Calendar und Contacts Sync seit Android 2.3.4 mittlerweile HTTPS, für Picasa jedoch nicht und nur ein minimaler Anteil an Android Phones verwenden überhaupt schon diese Version. Spiegel: Deutsche Forscher finden Datenleck in Android - Catching AuthTokens in the Wild
|
HaBa
LegendDr. Funkenstein
|
Mit "Android" kauft man sich doch schon per se ein Datenleck, das da erweitert nur den Kreis der Leute die zugreifen können
|
rastullah
Here to stay
|
Is das nicht bei allen Betriebssystemen heute so Haba (ausgenommen beim Symbian am 20€ Nokia)?
|
Spikx
My Little Pwny
|
Google beseitigt Sicherheitslücke bei Android rasch - für alleAuch wenn man keine technischen Details liefert, wechselt Google also wohl einfach auf eine andere, sichere Form der Authentifizierung für die mobilen Versionen von Calendar und Contacts. Ein Android-Update - wie manche BeobachterInnen befürchteten - ist hierfür also nicht vonnöten. Eine kleine Einschränkung: Der Fix ist derzeit nur für Google Calendar und Contacts aktiv, beim ebenfalls betroffenen Picasa brütet man hingegen noch über einer Lösung. Warum die Situation hier komplizierter ist, lässt Google ebenfalls offen. Wer ganz sicher gehen will, verzichtet also entweder weiterhin auf die Nutzung von offenen WLAN-Netzen oder deaktiviert in den Einstellungen die automatische Synchronisierung mit Picasa - die ohnehin nicht bei allen Geräten aktiv ist.
|
Smut
takeover & ether
|
Offene WLANs ist halt irreführend, weils doch genauso netze mit Shared Key betrifft.
Ich bin absolut kein fan des Android Konzept mit seinen Nachteilen bezüglich onlinesyncing, fingerprinting der smartphones usw. ABER
das Problem haben vermutlich 90% aller apps die nicht auf SSL zurückgreifen. Wenn sie die umstellung ohne updates schaffen, kommens mit einem blauen auge davon - ansonsten gute nacht bei dem updatevorgang.
|