Android-Lücke gibt Zugriff auf Kontaktdaten

Ulmer Forscher haben darauf aufmerksam gemacht,  dass in unverschlüsselten WLAN-Netzen Angreifer Identifizierungsschlüssel von den Google-Kontakten und -Kalendern eines Nutzer sowie seines Kontos beim Fotodienst Picasa abgreifen können. Google hat nun zu dem Problem Stellung genommen. In der Android-Version 2.3.4 sei die Lücke für Kalender und Kontakte bereits geschlossen, so ein Google-Sprecher am Mittwoch. "Wir sind dabei, es auch für Picasa zu lösen."

Von der Sicherheitslücke sind nach Angaben der deutschen Forscher mehr als 90 Prozent aller Android-Geräte betroffen. Updates stehen für viele Geräte jedoch noch nicht bereit.

Unverschlüsselt
Die Forscher hatten in einem bereits vergangene Woche veröffentlichten Papier angeprangert, dass die drei Android-Apps ihre sogenannten ID-Token unverschlüsselt senden. Ist auch die Verbindung zu einem WLAN-Netzwerk ungeschützt, habe ein Angreifer damit leichtes Spiel.

Sicherheitsexperten warnen immer wieder davor, Daten in offenen WLAN-Netzen zu versenden. Das gilt nicht nur für Smartphones, sondern auch für herkömmliche PCs. Zugleich ist die unverschlüsselte Verbindung zu Webdiensten ein bekanntes Problem. Große Aufregung gab es vor ein paar Monaten, als Sicherheitsexperten demonstrierten, wie leicht etwa Facebook- oder Twitter-Sitzungen gekapert werden können, wenn ein Angreifer die unverschlüsselt gesendeten Verbindungsinformationen abgreift. Die Dienste bieten inzwischen die sichere Verbindung über das Protokoll HTTPS an.