Kategorien
Android Handy & Telefon Tipp des Tages

Google Android Datenleck schließen: Sicherheitsloch stopfen und persönliche Daten schützen

Nach Apple und Facebook hat es jetzt auch Google erwischt: Forscher der Universität Ulm haben in Googles Handybetriebssystem Android ein eklatantes Datenleck entdeckt. Betroffen sind die Android-Versionen 2.1 bis 2.3.3. Android-Nutzer sollten die gespeicherten öffentlichen WLANs und Kennwörter prüfen.

Darum geht’s: Sobald Sie sich mit Ihrem Android-Smartphone in ein öffentliches WLAN-Netz einwählen (etwa am Flughafen oder im Restaurant), erhalten Hacker ohne großen technischen Aufwand Zugriff auf sämtliche Kontaktdaten, Kalendereinträge und Picasa-Fotos.

Das funktioniert, da beim Synchronisieren mit den Google-Servern ein Authentifizierungs-Token ausgetauscht wird, der wie ein Zweitschlüssel zum Google-Account funktioniert. Der Zweitschlüssel wird unverschlüsselt übertagen; jeder im öffentlichen WLAN kann den Schlüssel abfangen. Der Authentifizierungs-Token ist etwa zwei Wochen gültig und erlaubt einen uneingeschränkten Zugang zu den persönlichen Google-Daten.

Das können Sie tun

Gestopft wurde die Sicherheitslücke erst mit der Android-Version 2.3.4. Die Krux an der Sache: „Alte“ Android-Handys werden aber kaum aktualisiert, da die Handy-Provider Updates nur zögerlich freigeben und zum Download anbieten.

Wer nicht auf das Update seines Providers warten möchte, kann selbst aktiv werden und sich schützen. Und zwar folgendermaßen:

1. Stellen Sie zuerst sicher, dass sich das Android-Smartphone nicht automatisch in bereits besuchte WLANs einwählt. Dazu über „Einstellungen | WLAN-Einstellungen“ die Liste der bekannten WLANs einblenden und die gespeicherten offenen WLANs (erkennbar am fehlenden Vorhängeschloss) löschen.

2. Danach ändern Sie Ihr Google-Passwort, damit alle bisher vergebenen Authentifizierungs-Token ihre Gültigkeit verlieren.

Damit sind Sie zumindest so lange geschützt, bis Sie sich wieder in ein öffentliches WLAN-Netz einwählen und mit dem neuen Kennwort wieder mit den Google-Servern synchronisieren. Wer auf Nummer sicher gehen möchte, sollte danach die obigen Schritte wiederholen.

Weitere Infos zum Android-Datenleck:

Forschungsergebnisse der Universität Ulm

Blogbeitrag von Professor Dan Wallach (Rice University Houston), der den Stein ins Rollen brachte

Prozentuale Verteilung der Android-Versionen 1.5 bis 3.0

Kategorien
Hardware & Software Tipp des Tages

Facebook Access-Token-Datenpanne: So schließen Sie das Sicherheitsloch

Seit 2007 gab es bei Facebook eine eklatante Datenpanne – die erst jetzt entdeckt wurde. Über das Datenleck können externe Facebook-Applikationen auf alle persönlichen Daten, Chats und Statusmeldungen zugreifen. Und das bereits seit mehreren Jahren. Zum Glück lässt sich das Datenleck mit wenigen Schritten stopfen.

Das Facebook-Datenleck stopfen und Facebook wieder sicher machen

Darum geht es: Seit 2007 gibt es bei Facebook Mini-App für Spiele wie Farmville, Umfragen oder andere Spaß- und Mitmachangebote. Rund 20 Millionen Facebook-Apps werden täglich installiert. Wer die Facebook-Apps nutzen möchte, muss zustimmen. Bislang wurde bei der Zustimmung dem App-Entwickler der Zugangs-Schlüssel (access token) zum eigenen Facebook-Account übergeben. Und der funktioniert wie ein Ersatzschlüssel zu den kompletten Facebook-Daten eines Users. Wer den Zugangs-Schlüssel hat, kommt mitunter ohne Kennwort ans komplette Facebook-Profil.

Leck gestopft – aber das reicht nicht

Inzwischen hat Facebook die Sicherheitslücke gestopft und übergibt keine neuen Access-Tokens mit umfangreichen Zugangsberechtigungen mehr. Damit ist die Sache aber nicht erledigt. Denn alle alten Zugangsschlüssel behalten ihre Gültigkeit – und erlauben weiterhin den Zugriff auf sämtliche Profildaten.

Sicher ist sicher: Kennwort ändern

Um auch diese letzte Lücke zu schließen, gibt es eine einfache Möglichkeit: Ändern Sie Ihr Facebook-Kennwort, um damit gleichzeitig die alten Access-Tokens ungültig zu machen. Um das Facebook-Kennwort  zu ändern, klicken Sie oben rechts auf „Konto | Kontoeinstellungen“. Anschließend klicken Sie in der Zeile „Passwort“ auf „Ändern“ und vergeben ein neues Kennwort. Das Access-Token-Datenleck ist damit vollständig geschlossen.

Update: Mittlerweile hat Facebook das Datenleck gestopft. Die Sicherheitslücke gibt es nicht mehr.