Update: Google schließt WLAN-Schwachstelle

Unsicheres ClientLogin-Protokoll von Android ermöglicht Datendiebstahl

20.05.2011 | Redakteur: Stephan Augsten

... und ich verrat dir, wer du bist: Eine Android-Schwachstelle erlaubt das Ausspähen sensibler Daten.
... und ich verrat dir, wer du bist: Eine Android-Schwachstelle erlaubt das Ausspähen sensibler Daten.

Fehler im ClientLogin-Protokoll von Android ermöglichen das Ausspähen von Daten, die über ungesicherte WLAN-Verbindungen versendet werden. Sicherheitsforscher der Universität Ulm haben nachgewiesen, dass Angreifer dadurch auf persönliche Daten zugreifen könnte. Alle Android-Betriebssysteme bis einschließlich Version 2.3.3 sind von der Sicherheitsanfälligkeit betroffen.

Bereits im Februar hatte der IT-Blogger Dan Wallach auf Risiken hingewiesen, denen Android-Smartphones in offenen Funk-Netzwerken ausgesetzt sind. Drei Mitarbeiter des Instituts für Medieninformatik an der Universität sind dieser Behauptung im Rahmen einer Sicherheitsanalyse nachgegangen.

Tatsächlich stellte sich heraus, dass Fehler im ClientLogin-Protokoll das Ausspähen von Anwenderdaten ermöglichen. Ähnlich wie beim Session Hijacking werden dabei Datenpakete abgefangen, die es einem Angreifer ermöglichen, sich als legitimer Anwender auszugeben.

Mittels ClientLogin authentisieren sich installierte Android Apps und Drittanbieter-Anwendungen gegenüber den Google Services, um Informationen abzufragen. Im Zuge der Übermittlung von User-Name und zugehörigem Passwort wird seitens der Google Services ein sogenannter Authorization Token generiert und an die Anwendung zurückgegeben.

Lauschangriff mit WLAN-Sniffer

Problematisch wird es dann, wenn dieser Datenverkehr über ein ungesichertes Funk-Netzwerk läuft, beispielsweise einen offenen Hotspot oder einen imitierten Access Point. Befindet sich im selben Netzwerk ein Angreifer, so kann er den Datenverkehr mit einem WLAN-Sniffer wie Wireshark belauschen und per HTTP übermittelte Authorization Token auslesen.

Ein Authorization Token lässt sich zwei Wochen lang für jedwede Anfrage an die Service-API (Application Programming Interface) nutzen. Neben der ungewöhnlich langen Laufzeit besteht ein Problem darin, dass der Token weder an eine Sitzung noch an ein spezifisches Gerät gebunden ist. Fängt also ein Angreifer den Authorization Token ab, dann könnte er alle durch die Service API bereitgestellten Daten ausspähen.

Auf diesem Weg ist es letztlich möglich, auf sämtliche mit den Google Services synchronisierten Daten wie Kalender-Einträge, Kontakt-Informationen oder auch Picasa-Fotoalben zuzugreifen. Da der Angreifer dieselben Rechte wie der legitime Nutzer besitzt, könnte er die Daten nicht nur stehlen, sondern auch manipulieren oder löschen.

Mit den Android-Versionen 3.0 und 2.3.4 erfolgen sowohl Kalender- als auch Kontakt-Synchronisation nur noch via HTTPS. In diesen Fällen ist es nicht mehr möglich, die Authorization Token abzufangen.

Update

Glücklicherweise lässt sich die Schwachstelle Server-seitig von Google beheben. Damit sind Android-Nutzer nicht auf ein langatmiges Update der jeweiligen Gerätehersteller angewiesen. Was genau der Patch bewirkt, hat Google bislang noch nicht bekannt gegeben. Es ist unter anderem möglich, dass eine Verbindung zur Google Service API über HTTPS erzwungen wird.

Bereits seit Mittwochabend aktualisiert Google betroffene Geräte, sofern sie über eine Internet-Verbindung verfügen. Der Anwender selbst muss nichts unternehmen und bekommt vom Aktualisierungsvorgang auch nichts mit. Google will den Rollout in den kommenden Tagen erfolgreich abschließen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2051493 / Kommunikation)