Nach Apple und Facebook hat es jetzt auch Google erwischt: Forscher der Universität Ulm haben in Googles Handybetriebssystem Android ein eklatantes Datenleck entdeckt. Betroffen sind die Android-Versionen 2.1 bis 2.3.3. Android-Nutzer sollten die gespeicherten öffentlichen WLANs und Kennwörter prüfen.
Darum geht’s: Sobald Sie sich mit Ihrem Android-Smartphone in ein öffentliches WLAN-Netz einwählen (etwa am Flughafen oder im Restaurant), erhalten Hacker ohne groÃen technischen Aufwand Zugriff auf sämtliche Kontaktdaten, Kalendereinträge und Picasa-Fotos.
Das funktioniert, da beim Synchronisieren mit den Google-Servern ein Authentifizierungs-Token ausgetauscht wird, der wie ein Zweitschlüssel zum Google-Account funktioniert. Der Zweitschlüssel wird unverschlüsselt übertagen; jeder im öffentlichen WLAN kann den Schlüssel abfangen. Der Authentifizierungs-Token ist etwa zwei Wochen gültig und erlaubt einen uneingeschränkten Zugang zu den persönlichen Google-Daten.
Das können Sie tun
Gestopft wurde die Sicherheitslücke erst mit der Android-Version 2.3.4. Die Krux an der Sache: „Alte“ Android-Handys werden aber kaum aktualisiert, da die Handy-Provider Updates nur zögerlich freigeben und zum Download anbieten.
Wer nicht auf das Update seines Providers warten möchte, kann selbst aktiv werden und sich schützen. Und zwar folgendermaÃen:
1. Stellen Sie zuerst sicher, dass sich das Android-Smartphone nicht automatisch in bereits besuchte WLANs einwählt. Dazu über „Einstellungen | WLAN-Einstellungen“ die Liste der bekannten WLANs einblenden und die gespeicherten offenen WLANs (erkennbar am fehlenden Vorhängeschloss) löschen.
2. Danach ändern Sie Ihr Google-Passwort, damit alle bisher vergebenen Authentifizierungs-Token ihre Gültigkeit verlieren.
Damit sind Sie zumindest so lange geschützt, bis Sie sich wieder in ein öffentliches WLAN-Netz einwählen und mit dem neuen Kennwort wieder mit den Google-Servern synchronisieren. Wer auf Nummer sicher gehen möchte, sollte danach die obigen Schritte wiederholen.
Weitere Infos zum Android-Datenleck:
– Forschungsergebnisse der Universität Ulm
– Blogbeitrag von Professor Dan Wallach (Rice University Houston), der den Stein ins Rollen brachte
