© AP

Digital Life
07/18/2013

Google speichert WLAN-Passwörter im Klartext

Wie ein Sicherheitsforscher der Bürgerrechtsvereinigung Electronic Frontier Foundation (EFF) aufgedeckt hat, speichert Google alle WLAN-Kennwörter, die Android-Nutzer auf ihrem Gerät speichern, unverschlüsselt auf Google-Servern. Damit wird es möglich, dass die NSA darauf zugreifen und den gesamten WLAN-Datenverkehr mitschneiden könnte.

Während Google selbst seinen Nutzern rät, die Passwörter zum WLAN niemals Fremden anzuvertrauen, hält sich der Konzern selbst offenbar nicht an diese Spielregeln. Durch eine Backup-Funktion in Android werden auf Android-Geräten verwendete WLAN-Passwörter unverschlüsselt auf den Servern von Google abgelegt. Aufmerksam gemacht auf dieses Sicherheitsproblem hat Micah Lee in einem Blogeintrag. Lee analysiert, dass das Android-Gerät keinen Kennwort-Hash zum WLAN-Router senden kann, so die Google-Server das Kennwort im Klartext an das jeweilige Android-Gerät senden muss.

Warum das nach wie vor ein Problem ist
Das ist insofern problematisch, als dass standardmäßig bei allen Android-Smartphones und -Geräten aktiviert ist, dass die Passwörter in einem Backup gesichert sind. Dadurch sind bei Google Millionen von WLAN-Router-Passwörter unverschlüsselt gespeichert und Google hat diese Passwörter jeweils mit den jeweiligen User-Profilen verbunden.

Da viele Nutzer nach wie vor, obwohl bereits bekannt ist, dass dies aus Sicherheitsgründen abzulehnen ist, nur ein Passwort für alles benutzen, ist dies besonders problematisch. Lee spekuliert auch, dass die NSA sich ohne großen Aufwand Zugang zu den unverschlüsselten WLAN-Passwörtern verschaffen und in Folge den gesammten WLAN-Datenverkehr mitschneiden könnte.

Aus Sicherheitsgründen sollten Android-Nutzer daher die Standardeinstellung, über die das Speichern von App-Daten, Einstellungen und WLAN-Passwörtern möglich wird, auf ihren Android-Geräten abzuschalten sowie in Folge das Passwort für den WLAN-Router zu ändern.

Googles Statement
Google betont in einer Stellungnahme, dass die Backup-Funktion ein "optionales Feature" sei und dass, wenn man die Funktion deaktiviert, alle damit verbundenen Daten vom Server gelöscht werden. Außerdem seien die Daten beim Transport ins Rechenzentrum verschlüsselt. Die Rechenzentren seien außerdem "hochgesichert".