Diese Lücke wurde nicht durch Studium des Quellcodes gefunden (den es für die betroffenen Anwendungen auch gar nicht gibt, denn die Google Apps wie auch die meisten Apps von Drittherstellern sind NICHT Open Source), sondern durch Mitschreiben des Netzwerkverkehrs.

Außerdem reicht es für den Angriff, im selben Netzwerk mit demselben Schlüssel angemeldet zu sein, das muß kein offenes Netzwerk sein. Überall wo nicht jeder Benutzer sein eigenes Paßwort hat (und wo gibt es das schon) kann theoretisch jeder alle Anmeldetoken aller Benutzer einsammeln und dessen Daten abgreifen und/oder ändern.

Dass das in der aktuellsten Android-Version halbwegs behoben wurde, ist nur ein schwacher Trost, denn die gibt es nur für die allerwenigsten Smartphones (0,3%).

Das wirkliche Drama ist nicht diese Unzulänglichkeit von Android (sowas kann passieren, das ist halt auch nur Software), sondern die Tatsache, dass es Updates nur von den Geräteherstellern gibt und die mit ihren Updates grundsätzlich entweder Jahre hinterherhinken oder überhaupt nie Updates herausgeben. Wenn das eigene Handy für alle Ewigkeit auf Android 2.1 oder 2.2 festhängt, hilft es einem herzlich wenig, wenn das in 2.3.4 behoben wurde und man sich ein neues Handy kaufen müßte, um in den Genuß dieser Version zu kommen.

joh am 18.05.11 10:09

Hier im Blog: "[...]Das ist im Falle von Android einfacher als bei anderen Smartphones, weil das Android-Betriebssystem offen ist[...]"

Ob oberflächlich gelesen rüberkommt, dass es die Offenheit des Systems ist, die den Fehler *sichtbar* macht und ihn *nicht* ermöglicht?
Genau damit grenzt sich das Linux-basierte Android von den proprietären Smartphone-Betriebssystemen wie Symbian, iOS und Windows Mobile ab.
Quelloffenheit bedeutet Sicherheit!

Daniel Rohde-Kage am 18.05.11 12:09

Hallo Herr Schieb,

Sie haben leider in Ihrem Artikel einen Punkt mißverstanden, wenn es um Open Source geht: Die Teile (Kalender, Picasa, etc.) die Sicherheitslücken aufweisen, sind eben gerade *nicht* Open Source sondern gewöhnliche proprietäre Software von Google.

Google bemüht sich nicht besonders, zwischen dem sog. Android Open Source Project und "Android, auf dem Google draufsteht" abzugrenzen - letzteres enthält neben dem eigentlichen Android-Betriebssystem noch Google-Anwendungen - in denen hierbei die Sicherheitslücken gefunden wurden.

Gruß,
Sebastian

Sebastian am 18.05.11 12:17

Aber ist das nicht eher eine Sicherheitslücke in der Cloud? Kalender und Kontakte werden doch mit der Google-Cloud synchronisiert; wenn jemand die Google-Dienste auf dem PC oder dem iPhone nutzt, wird er doch die gleichen Probleme mit den Tokens haben, oder nicht? Bitte mal um Aufklärung vom Experten....

Christian Müller am 18.05.11 12:20

Die eigentliche Sicherheitslücke besteht darin, dass die jeweiligen Anwendungen/Apps unverschlüsselt mit ihrem Server in "der Cloud" kommunizieren. Das ist an sich eigentlich ziemlich haarsträubend - hat aber nichts mit Android zu tun. Es hat auch im Prinzip nichts mit offenen WLANs zu tun sondern ist immer ein Problem in Netzen, die man nicht unter der eigenen Kontrolle hat.

Es dürfte im übrigen den wenigsten Nutzern bewusst sein, welche Informationen ganz allgemein alle im Klartext über die Leitung gehen und beispielsweise vom Chef oder dem Admin in der Firma ohne weiteres mitgelesen werden können. Dafür brauchts kein Android, kein Smartphone und kein offenes WLAN.

Daniel am 18.05.11 13:00

???
ich möchte nicht wissen, wie Sie über Apple hergezogen hätten, wäre diese Lücke beim iPhone aufgetaucht!!!
Was haben Sie noch über iSpy hergezogen!!!
Liebe Grüße
Micha Buhr

Michael W. Buhr am 18.05.11 13:24

Schade, der Artikel hat gut angefangen. Am Scheitelpunkt wiederspricht sich der Autor quasi selbst innerhalb zwei aufeinanderfolgender Absätze. Denn - es ist eben nicht notwendig auf ein "Opfer" zu warten, wenn man sein eigenes WLAN Gerät in dessen Umgebung einschleusen kann. Außerdem stellt sich mir die Frage, welche Daten auf dem Telefon so kritisch sind, wenn nicht gerade Adressbuch, Bilder und Kalendereinträge. Das für viele Android Smartphones ein Update nicht ohne Weiteres zu beziehen ist, wird komplett übergangen, denn die durchaus richtige Schlussfolgerung, dass jedes Betriebssystem seine Lücken hat, wird erst dadurch zum echten Problem. Gruß, Alex

Alex am 18.05.11 13:50

"Es werden sich immer Lücken auftun - und eigentlich werden diese Lücken erst durch die Veröffentlichung richtig gefährlich."

Lieber Autor, eine Lücke nicht zu veröffentlichen, verleitet den Softwarehersteller nur dazu, weiterhin unsauber zu programmieren. Des Weiteren werden Sicherheitslücken, die nicht allgemein veröffentlicht werden, gegen viel Geld verkauft. Käufer sind dabei dann Personen, die sicherlich nichts gutes mit diesen Informationen vorhaben - oder eben Sicherheitsunternehmen, die das Wissen über die Lücke in Ihren Produkten wiederum einbauen, um gegen wiedermals viel Geld diese Software an Ihre Kunden zu verkaufen.
Dann doch lieber öffentlich, für alle, inklusive Druck auf den Hersteller um die Software (welche bezahlt wurde) ohne Fehler zu erhalten bzw. zu fixen.

Alex K. am 18.05.11 14:14

"Last not least kommt der Datendieb aber "nur" an die Kontakte, die Termine und Fotos. Die Frage ist, wie wertvoll solche Informationen im Zweifel sind. Für einen Geheimagenten sicher nützlich - aber im echten Leben? Eher wohl nicht die Mühe wert, ist meine Ansicht dazu."

Aha. Inkompetentes Schreiberlein, Sie!

Helmut Brakelmann am 18.05.11 14:17

"- und eigentlich werden diese Lücken erst durch die Veröffentlichung richtig gefährlich."

Einspruch, euer Ehren! Zero-day exploits, die außer den (kriminellen) Entdeckern niemand kennt sind mit Abstand gefährlicher als veröffentlichte Lücken. Vermutlich wurde zur Veröffentlichung gegriffen, da Google nicht adäquat auf eine vorherige, vertrauliche Meldung reagiert hat (zugegebenerweise spekulativ).

Der da am 18.05.11 14:18

Wie unterschiedlich hier mit Google und Apple umgegangen wird, ist wirklich bemerkenswert. Zumal Apple innerhalb von zwei Wochen ein Update zur Verfügung gestellt hat, dass das letzte Problem gründlich behebt, während die Besitzer der allermeisten Android-Geräte wahrscheinlich niemals 2.3.4 angeboten bekommen werden. Und genau das ist das eigentliche Problem mit Android.

Übrigens, im Browser funktioniert dieser Trick natürlich genauso, es gibt Dover eine Firefox-Erweiterung die das automatisiert (Firesheep). Bloss kann man manuell HTTPS erzwingen und das Problem ist gegessen. Bei Apps geht das nicht.

Joh am 18.05.11 14:22

Unfassbar! Bei der Apple-Lücke rumschreien/aufblasen und jetzt runterspielen/verharmlosen.

wolframcgn am 18.05.11 15:02

"nur" an die Kontakte, die Termine und Fotos"

Ich glaube es hakt. Was ist DAS denn bitte für eine Auffassung von Datenschutz? Nur meine Kontakte inkl. alle Geburtstage, alle Telefonnummern, alle Anschriften, alle Fotos die ich als Gesichter zu den Kontakten abgespeichert habe, alle meine Termine der nächsten Wochen inklusive meiner Termine in der Vergangenheit, die noch nicht gelöscht wurden.

Stimmt. Die sind SICHERLICH total uninteressant. Es sei denn natürlich ich bin jemand wie der Präsident einer großen Firma oder ein Prominenter, der sich einfach nur im gleichen WLAN aufhalten muss wie ein Journalist.

Und wenn das Beispiel nicht gefällt: genau DIESE Beispiele wurden bezüglich der iOS-Lücke angebracht. Diese Argumentationsweise von wegen "Für wen ist das schon interessant" ist genau die gleiche Art wie bei ALLEN datenschutzrechtlichen Dingen immer argumentiert wird. "Ist doch egal".

Nein, ist es NICHT.

Sebastian am 18.05.11 16:50

Kann mich meinen Vorrednern nur anschliessen:

- man muss nur im gleichen WLAN sein, wie das "Ziel" => bei Firmen-Netzen, in Hotels, bei McDonalds etc. ist das ein extremes Problem
- Kontakte und Bilder sind meiner Meinung nach schon sehr sensitive Daten, Termine teilweise auch
- ein Update auf 2.3.4 ist nur für die allerwenigsten Android User möglich, die grosse Mehrheit darf also ab sofort mit dem Problem leben
- das Veröffentlichen eines Sicherheitslecks ist im Allgemeinen eher positiv zu sehen und zwingt die Hersteller dazu, Updates zur Verfügung zu stellen

Soviele fragwürdige/falsche Schlussfolgerungen in einem einzigen Artikel sind schon bemerkenswert. Apple ist auch nicht das Gelbe vom Ei, aber dieses Beispiel zeigt deutlich die Vorteile von iPhones im Vergleich zu Android. Und die "zwei Gesichter" von Google wenn es um Open Source geht.

Schade!

Heiko am 18.05.11 16:51

Ich stimme den anderen Kommentaren zu und bin der Meinung, dass dieser Artikel grobe fachliche Mängel aufweist. Ich bitte daher auch von Ihnen, Herr Schieb, um ein Update!

Jakob am 18.05.11 18:28

Also ich finde dias wirklich erschreckend ... beim iPhone kann man (wenn man das Telefon in die Hände und an einen PC bekommt) Standortangaben auslesen. Da schreit die Android Community, dass das pure Böse am Werk ist - pfui Teufel Apple!

Und wie ist es bei einer eklatanten Lücke, bei der alle Kontaktdaten, Bilder und so weiter aus dem Telefon ausgelesen werden können, wenn man nur im gleichen Netz ist? Nunja, es handelt sich dabei um Android - da ist der Quelltext offen und wenn mans findet kriegt man nen Keks und freut sich drüber, dass man es finden kann?!?

Dieser Mangel ist schlimmer als der von Apple aber naja, who cares: Apple = böse | Android = gut

Oliver am 18.05.11 18:32

Vielen Dank für die lebhafte Diskussion, darüber freue ich mich.

Jede Sicherheitslücke ist eine zu viel - und sollte so schnell wie möglich geschlosseb werden. Da sind wir uns einig. Es ist ein eindeutiger Vorteil des iPhone/iPad, dass es hier mühelos möglich ist, ein Update ins Gerät zu spielen, bei Android-Handys aber der Hersteller aktiv werden muss und sich Updates so verzögern oder gar nicht erfolgen. Auch hier sind wir uns einig (war nicht Thema im Blog, kann ich aber hier bestätigen).

Ich persönlich finde die Lücke deshalb weniger problematisch als andere, weil ich denke, dass weniger Interesse an Kontakten oder Bildern besteht und deshalb die Wahrscheinlichkeit geringer ist, dass sich jemand die Mühe macht, diese Lücke auszunutzen. Ich kann mich da natürlich täuschen. Und natürlich: Jeder einzelne, der erleben muss, dass seine Daten "entwendet" werden, sieht das natürlich anders und hält die Lücke dann, zu Recht, für erheblich. Darüber kann man gerne diskutieren.

Ich finde das iSpy-Problem im iPhone deshalb tragischer, weil es einfacher ist, sich die Daten zu besorgen (kurzer Zugriff aufs Handy oder Mac reicht), und weil dann Bewegungsprofile eingesehen werden können. Aber das ist meine persönliche Bewertunge. Das hat im übrigens nichts mit der Frage zu tun, ob nun Hersteller A oder B dahinter steckt.

Last not least ist der Hinweis wichtig, dass ungesicherte WLANs allgemein ein Problem darstellen (können), ebenso die Tatsache, dass Anmeldedaten oder Tokens unverschlüsselt übertragen werden. Es lohnt sich, die Diskussion auf diesen Punkt zu lenken.

Jörg Schieb am 18.05.11 20:22

"Das hat im übrigens nichts mit der Frage zu tun, ob nun Hersteller A oder B dahinter steckt."

Das glauben Ihnen jetzt aber bestimmt Alle, wetten?;-)

Naja, Sie können's ja beweisen, wenn das nächste Apple-Bashing ansteht.

vaikl am 18.05.11 21:47

Moin!

Die Fachkenntnis ist ja hier überragend verteten. Also anscheinend gibt es keinerlei google-Software oder Sync fürs IPhone wie ICal/Caldav für die Kalender, usw.(da gäbe es dann wohl den gleichen Fehler)? Oder weitere Software zum Synchronisieren von Mails, Kalender und Kontakten? Wie z.B. Exchange Active Sync... Vielen Unternehmen ist ein signed Zertifikat zu teuer und ein selbsterstelltes funktioniert oft nicht, also stellt man die Verschlüsselung per SSL einfach ab. Genau an der Stelle ist es völlig egal, ob ich ein Nokia-Smartphone, Bada-OS, ein IPhone oder einen Android-OS nutze. Bei allen ist das Betriebssystem überhaupt nicht schuld sondern die Programme (Apps) oder die Sicherheit, die das Unternehmen vorgibt.

Oju am 19.05.11 0:11

Also, um an dieses "Bewegungsprofil" auf dem iPhone zu kommen, muß man erstmal das iPhone haben und dann hat man auch die Kontakte und alles andere.

Bei dieser Android-Lücke muß ich aber erst gar nicht das Smartphone haben, ich muß nur im richtigen Netz sein. Wenn ich sogar das Smartphone habe, komme ich da eh dran, bei iOS und bei Android.

Irgendwie bietet also diese Android-Lücke schlicht eine Möglichkeit mehr, um an diese Daten zu kommen und zwar, ohne das Ding auch nur anfassen zu müssen. Warum das dann weniger schlimm sein soll, weiß ich wirklich nicht.

Mal ganz davon abgesehen, dass diese Positionsdatenbankpeinlichkeit bei iOS nach noch nicht einmal zwei Wochen mit einem Update von Apple erledigt war, während die allermeisten Android-Smartphones niemals das passende Update sehen werden.

joh am 19.05.11 1:05