Android-Sicherheitslücke in Kalender, Galerie und Kontakte-App [FAQ]

Frank Ritter
4

Derzeit geht die Meldung über eine neu entdeckte Sicherheitslücke in einigen Android-Apps durch die Medien. Wir klären in einem Sicherheits-Special, was dran ist, wie die Lücke funktioniert, wie gefährlich die Lücke ist und wie man sich schützen kann.

Android-Sicherheitslücke in Kalender, Galerie und Kontakte-App [FAQ]

Google hat angekündigt, einen serverseitigen Fix für die Sicherheitslücke auszurollen. Alles weitere in unserem Folgeartikel.

Bastian Könings, Jens Nickels und Florian Schaub von der Uni Ulm haben ordentlich Staub aufgewirbelt mit einem Papier, das sie am Freitag letzter Woche ins Netz stellten. Im Dokument mit dem etwas sperrigen Namen “Catching AuthTokens in the Wild: The Insecurity of Google’s ClientLogin Protocol”, zu deutsch: “AuthTokens in freier Wildbahn abfangen: Die Unsicherheiten in Googles ClientLogin-Protokoll” beschreiben die Forscher, wie böswillige Personen in offenen WLANs die Datenkommunikation von Android-Handys kompromittieren können. Aber wie gefährlich ist diese Sicherheitslücke? Hier die wichtigsten Infos, verpackt in ein hoffentlich allgemein verständliches Frage-Antwort-Spiel:

Was kann, theoretisch und schlimmstenfalls, passieren?

Befindet man sich mit einem Android-Smartphone in einem offenen WLAN (etwa in Cafés, am Flughafen oder auf Konferenzen), kann ein böswilliger Angreifer Einsicht in Kontakte, Kalender und Picasa-Bilder nehmen und diese modifizieren. Das nicht nur im gleichen Moment, sondern schlimmstenfalls noch bis zu 14 Tage später.

Was ist der technische Hintergrund der Android-Lücke?

Wer sich in einem nicht gesicherten, also unverschlüsselten WLAN befindet, hat das Problem, dass im Grunde jeder technisch versierte Nutzer, der sich im gleichen Netzwerk befindet, den entstandenen Datenverkehr “mitschnüffeln” kann. Das heißt: besuchte Webseiten, Inhalte von E-Mails, sogar Passwörter und mehr. Die einzige Möglichkeit, dies zu umgehen, ist Verschlüsselung. Viele Webseiten und Webdienste bieten daher SSL-Verschlüsselung an, diese erkennt man am “https://” am Anfang der Webadresse im Browser. Bei Anwendungen und Smartphone-Apps ist leider meist nicht transparent, ob die Verbindung per SSL gesichert ist. So wurden im August letzten Jahres die Apps von Foursquare und Gowalla dafür kritisiert, dass sie Passwörter im Klartext versendeten, wodurch prinzipiell jeder im gleichen offenen WLAN mit geringem Aufwand diese Passwörter mitschnüffeln konnte — in der die Natur dieser Apps liegt es freilich, dass sie oft in offenen WLANS verwendet wurden.

Die jetzt medial ausgebreitete Android-Sicherheitslücke ist nicht ganz so dramatisch, aber trotzdem ernstzunehmen. Das Passwort ist zwar nicht auslesbar, allerdings die übertragenen Daten, sprich Kontakte, Termine und Bilder, die man bei Googles Bilderdienst Picasa gespeichert hat. Das funktioniert so: Einige Android-System-Apps tauschen im Hintergrund per Push-Service dauerhaft Daten aus. Hierbei werden zwar Login-Name und Passwort verschlüsselt übertragen, allerdings erhält der Nutzer im Rahmen des so genannten ClientAuth-Protokolls unverschlüsselt ein so genanntes AuthToken zurück. Ein böswilliger Angreifer, der dieses AuthToken “mitschneidet”, kann es bis zu 14 Tage lang dazu verwenden, sich mit den betroffenen Anwendungen gegenüber Google als der Nutzer auszugeben, dem das Token gehört. Das ClientAuth-Verfahren wird von der Kalender-, der Kontakte- und der Galerie-App (zum Abgleich mit dem Picasa-Webservice) verwendet.

Noch ernster wird das Problem dadurch, dass sich Android automatisch in WLANs neu einbucht, zu denen bereits einmal erfolgreich eine Verbindung aufgebaut wurde, und daraufhin prompt mit der Datensynchronisierung beginnt. Ein Angreifer könnte also theoretisch einen WLAN-Hotspot mit einem gängigen Netwerknamen (SSID) einrichten, etwa “t-mobile” oder “starbucks”, und einfach warten bis sich Android-Geräte damit verbinden.

Wer ist von der Sicherheitslücke betroffen?

In Android 2.3.4 und dem Tablet-Ableger Android 3.0 “Honeycomb” ist die Sicherheitslücke in der Kalender- und der Kontakte-App geschlossen. Betroffen sind also alle Android-Geräte mit einer Android-Version unter 2.3.4. Das sind leider momentan nahezu alle Geräte, ausgenommen das Nexus S und das Nexus One.

Warum verschlüsselt Google nicht den gesamten Traffic?

Komplett verschlüsselte SSL-Verbindungen benötigen sehr viel Prozessor-Power. Mutmaßlich deshalb verwendete Google in den genannten Apps bis einschließlich Android 2.3.3 deshalb das “sparsamere” ClientAuth-Protokoll.

Was kann Google tun?

Das wichtigste hat Google bereits getan: Die Sicherheitslücke geschlossen. Allerdings muss das Update bei den Geräteherstellern und damit bei den Nutzern erst einmal ankommen. In der Zwischenzeit könnte Google immerhin folgende Massnahmen ergreifen, um der ClientAuth-Problematik Herr zu werden:

  • Druck bei den Geräteherstellern machen, dass diese auf Android 2.3.4 updaten, oder zumindest die System-Apps aktualisieren.
  • In zukünftigen Android-Versionen die automatische Synchronisierung abschalten, falls sich ein Nutzer in einem offenen WLAN befindet.
  • Das automatische Wiederverbinden zu WLANs beschränken auf WLANs mit Verschlüsselung.
  • Die Gültigkeitsdauer des ClientAuth-Tokens massiv herabsenken, etwa auf eine Stunde.
  • In Zukunft mehr System-Apps update-fähig machen – entweder als Zwangs-Update wie bei der Market-App oder zumindest als installierbares Update, wie bei Google Maps.

Was können die Gerätehersteller tun?

Samsung, Motorola, HTC und Co. sollten zeitnah Patches auf Android 2.3.4 für ihre Geräte verteilen. Auch “kleine” Patches, die nur die betroffenen Applikationen aktualisieren, wären denkbar — so wurde seinerzeit auch der SMS-Bug bei einigen Geräten behoben.

Was kann man als Nutzer tun?

  • Sofern man ein Update-bares Smartphone hat: Auf Android 2.3.4 aktualisieren. Auch kleinere Sicherheitsupdates einspielen.
  • Viele Geräte lassen sich auch mit Custom ROMs als Alternative zur Standard-Firmware der Hersteller versehen, die als Basis Android 2.3.4 verwenden. Als Beispiel sind hier CyanogenMod und MIUI zu nennen. Wer keine Angst vor tiefgreifenden Änderungen an seinem Betriebssystem hat, sollte sich mit der Möglichkeit beschäftigen.
  • Und schließlich der einzige wirklich sichere Tipp, um solche Probleme effektiv zu umschiffen: Meidet offene WLANs, wenn euch eure Login-Daten lieb sind. Zwar sind die gerade bekannt gewordenen Google-Bugs ein dickes Ding, einstweilen dürften sich aber auch diverse andere Apps sich nicht-verschlüsselt authentifizieren. Ganz zu schweigen von zahlreichen Webseiten, die beim Einloggen nicht automatisch auf die SSL-Verbindung umschwenken. Ein Beispiel sind Webforen.

Ist das ein Android-spezifisches Problem?

Definitiv: Nein, auch wenn es derzeit von Spiegel Online und Co. so dargestellt wird. Wie das oben genannte Beispiel von Gowalla und Foursquare zeigt, dürfte es etliche Apps geben, die sich im Klartext authentifizieren oder das unsichere ClientAuth-Protokoll verwenden. Auch das mobile Surfen per Laptop oder Netbook über unverschlüsselte Zugangspunkte ist sehr unsicher. Viele Websiten im Browser übertragen Zugangsdaten nicht per SSL-Verschlüsselung. Im Oktober letzen Jahres wurde beispielsweise die Firefox-Erweiterung Firesheep bekannt, mit der jedermann ohne technischen Sachverstand in offenen WLANs fremde Facebook-, Twitter- und weitere Accounts übernehmen konnte. Hier bleibt nur, entweder auf offene WLANs gänzlich zu verzichten, oder auf ein VPN zuzugreifen, das den kompletten Datenverkehr über eine verschlüsselte Verbindung tunnelt.

Weitere Themen: Android

Neue Artikel von GIGA ANDROID

GIGA Marktplatz