Google schließt Sicherheitslücke

Es rumorte kräftig in der Android-Welt alt bekannt wurde, dass Android eine gravierende Sicherheitslücke hat. Bis einschließlich Android 2.3.3 ist es möglich, dass sich Angreifer Zugang zu Kalender, Kontakten und Bildern verschaffen, wenn diese zum Beispiel über ein unverschlüsseltes WLAN-Netz synchronisiert werden.

Bei Google scheint man sich der Gefahr bewusst zu sein, die von dieser Sicherheitslücke ausgeht – für die Nutzer und für das eigene Image. Und so hat man schnell auf das Problem reagiert und schließt die Lücke mit einem serverseitigen Patch. Das heißt, der Nutzer muss nichts dafür tun. Schon in den kommenden Tagen soll der Patch weltweit ausgeliefert werden.

Zukünftig werden Kalender und Adressbuch nur noch per HTTPS synchronisiert. So können auch beim Surfen in einem öffentlichen WLAN-Netz keine der Auth Tokens mehr ausgelesen werden. Mit diesen Tokens bekommen Anwendungen die Berechtigung, auf bestimmte Informationen zuzugreifen.

Der Patch behebt jedoch vorerst nur das Problem für den Kalender und die Kontakte. Bei Picasa gestaltet sich die Lösung laut Google etwas schwieriger, aber man arbeitet daran, gab das Unternehmen an. Die Forscher der Universität Ulm, die die Sicherheitslücke entdeckt hatten, warnten jedoch. Denn die Sicherheitslücke betrifft nicht nur den Google Kalender und die Kontakte, sondern auch andere Anwendungen, die AuthTokens nutzen wie beispielsweise Facebook oder Twitter.

Darum ist auch weiterhin Vorsicht geboten, wenn man in unverschlüsselten WLAN-Netzen unterwegs ist. Nach Möglichkeit sollten diese gemieden werden. Nutzt man doch ein offenes WLAN, raten Sicherheitsexperten dazu, die automatische Synchronisierung abzuschalten und bereits genutzte, unverschlüsselte WLAN-Netze aus der Liste der gespeicherten WLANs zu löschen.