Forscher am Institut für Medieninformatik der Universität Ulm haben eine Sicherheitslücke innerhalb von Android aufgedeckt (extern), die Google mittlerweile bestätigt hat. Wer den Authentifizierungs-Token abfängt, erhält Zugriff auf die bei Google hinterlegten Daten.
Dieser Authentifizierungs-Token wird von Anwendungen genutzt, um sich nach der einmaligen Anmeldung mit Benutzername und Passwort gegenüber Google auszuweisen. Der Token wird allerdings nicht verschlüsselt übertragen und kann auch bis zu zwei Wochen gültig bleiben.
Wer einen solchen Token ergaunert, kann diesen auch von anderen Geräten und in anderen Netzen nutzen, um Zugriff auf die Daten zu erlangen, es wird keine Plausibilitätsprüfung durchgeführt.
Fast alle Android-Geräte betroffen
Das Problem besteht bei den Android-Apps für den Zugriff auf Kalender und Adressen bis einschließlich Android 2.3.3 und beim Zugriff auf Picasa-Fotoalben mit allen Android-Versionen.
Es lassen sich auf diese Weise nicht nur Daten herunterladen, diese können auch verändert werden. Unter Picasa ließen sich so Bildergalerien mit unliebsamen Inhalt anlegen, die öffentlich zugänglich sind.
Der Authentifizierungs-Token kann ganz leicht über ein offenes WLAN-Netz abgefangen werden, in dem die Daten unverschlüsselt übertragen werden. Man sollte also mit dem Smartphone nicht über unverschlüsselte WLAN-Netze online gehen.
Android vom Google-Konto trennen
Wer dennoch darauf angewiesen ist, sollte, bevor in einem offenen WLAN-Netz online geht, die automatisch Synchronisierung stoppen oder am besten Android ganz vom Google-Konto abkoppeln.
Alternativ kann man dann über ActiveSync auf die Google-Daten zugreifen. Dieser Zugang ist verschlüsselt.