Datenleck in Android

Spikx

My Little Pwny

Registered: Jan 2002
Location: Scotland
Posts: 13504

17.05.2011 - 20:25

Vor kurzem wurde bekannt, dass im Betriebssystem Android ein großes Loch existiert: die Authentifizierung für einen Calendar Sync, Contacts Sync oder für Picasa passiert ohne Verschlüsselung und die Authentification Tokens sind über mehrere Tage hinweg gültig. Über unverschlüsselte WLANs mit gängigem Namen, zu dem sich die Android Phones unter Umständen automatisch verbinden, könnten diese Tokens bequem eingesammelt werden.

Zwar verwendet Google für Calendar und Contacts Sync seit Android 2.3.4 mittlerweile HTTPS, für Picasa jedoch nicht und nur ein minimaler Anteil an Android Phones verwenden überhaupt schon diese Version.

Spiegel: Deutsche Forscher finden Datenleck in Android - Catching AuthTokens in the Wild

HaBa

Legend
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19618

17.05.2011 - 20:40

Mit "Android" kauft man sich doch schon per se ein Datenleck, das da erweitert nur den Kreis der Leute die zugreifen können

rastullah

Here to stay

Registered: Oct 2004
Location: Speckgürtel
Posts: 2665

17.05.2011 - 20:41

Is das nicht bei allen Betriebssystemen heute so Haba (ausgenommen beim Symbian am 20€ Nokia)?

Spikx

My Little Pwny

Registered: Jan 2002
Location: Scotland
Posts: 13504

19.05.2011 - 10:34

Google beseitigt Sicherheitslücke bei Android rasch - für alle

Zitat
Auch wenn man keine technischen Details liefert, wechselt Google also wohl einfach auf eine andere, sichere Form der Authentifizierung für die mobilen Versionen von Calendar und Contacts. Ein Android-Update - wie manche BeobachterInnen befürchteten - ist hierfür also nicht vonnöten. Eine kleine Einschränkung: Der Fix ist derzeit nur für Google Calendar und Contacts aktiv, beim ebenfalls betroffenen Picasa brütet man hingegen noch über einer Lösung. Warum die Situation hier komplizierter ist, lässt Google ebenfalls offen. Wer ganz sicher gehen will, verzichtet also entweder weiterhin auf die Nutzung von offenen WLAN-Netzen oder deaktiviert in den Einstellungen die automatische Synchronisierung mit Picasa - die ohnehin nicht bei allen Geräten aktiv ist.

Smut

takeover & ether

Registered: Feb 2003
Location: VIE
Posts: 16632

19.05.2011 - 18:13

Offene WLANs ist halt irreführend, weils doch genauso netze mit Shared Key betrifft.

Ich bin absolut kein fan des Android Konzept mit seinen Nachteilen bezüglich onlinesyncing, fingerprinting der smartphones usw. ABER

das Problem haben vermutlich 90% aller apps die nicht auf SSL zurückgreifen. Wenn sie die umstellung ohne updates schaffen, kommens mit einem blauen auge davon - ansonsten gute nacht bei dem updatevorgang.

Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13504	17.05.2011 - 20:25 Vor kurzem wurde bekannt, dass im Betriebssystem Android ein großes Loch existiert: die Authentifizierung für einen Calendar Sync, Contacts Sync oder für Picasa passiert ohne Verschlüsselung und die Authentification Tokens sind über mehrere Tage hinweg gültig. Über unverschlüsselte WLANs mit gängigem Namen, zu dem sich die Android Phones unter Umständen automatisch verbinden, könnten diese Tokens bequem eingesammelt werden. Zwar verwendet Google für Calendar und Contacts Sync seit Android 2.3.4 mittlerweile HTTPS, für Picasa jedoch nicht und nur ein minimaler Anteil an Android Phones verwenden überhaupt schon diese Version. Spiegel: Deutsche Forscher finden Datenleck in Android - Catching AuthTokens in the Wild
HaBa Legend Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19618	17.05.2011 - 20:40 Mit "Android" kauft man sich doch schon per se ein Datenleck, das da erweitert nur den Kreis der Leute die zugreifen können
rastullah Here to stay Registered: Oct 2004 Location: Speckgürtel Posts: 2665	17.05.2011 - 20:41 Is das nicht bei allen Betriebssystemen heute so Haba (ausgenommen beim Symbian am 20€ Nokia)?
Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13504	19.05.2011 - 10:34 Google beseitigt Sicherheitslücke bei Android rasch - für alle Zitat Auch wenn man keine technischen Details liefert, wechselt Google also wohl einfach auf eine andere, sichere Form der Authentifizierung für die mobilen Versionen von Calendar und Contacts. Ein Android-Update - wie manche BeobachterInnen befürchteten - ist hierfür also nicht vonnöten. Eine kleine Einschränkung: Der Fix ist derzeit nur für Google Calendar und Contacts aktiv, beim ebenfalls betroffenen Picasa brütet man hingegen noch über einer Lösung. Warum die Situation hier komplizierter ist, lässt Google ebenfalls offen. Wer ganz sicher gehen will, verzichtet also entweder weiterhin auf die Nutzung von offenen WLAN-Netzen oder deaktiviert in den Einstellungen die automatische Synchronisierung mit Picasa - die ohnehin nicht bei allen Geräten aktiv ist.
Smut takeover & ether Registered: Feb 2003 Location: VIE Posts: 16632	19.05.2011 - 18:13 Offene WLANs ist halt irreführend, weils doch genauso netze mit Shared Key betrifft. Ich bin absolut kein fan des Android Konzept mit seinen Nachteilen bezüglich onlinesyncing, fingerprinting der smartphones usw. ABER das Problem haben vermutlich 90% aller apps die nicht auf SSL zurückgreifen. Wenn sie die umstellung ohne updates schaffen, kommens mit einem blauen auge davon - ansonsten gute nacht bei dem updatevorgang.

Datenleck in Android

Forum Index > Hardware > Systeme > Smartphones & Tablets

Spikx

HaBa

rastullah

Spikx

Smut