Google will Sicherheitslücke bei seinem Handy-Betriebssystem schnell schließen

Hamburg. Nutzer von Googles Betriebssystem Android sollten zumindest in den nächsten Tagen genau darauf achten, über welche Netzwerksverbindung sie online gehen, wenn sie keinen Diebstahl persönlicher Daten riskieren wollen. Denn in den Versionen 1.5. bis 2.3.3. existiert eine eklatante Sicherheitslücke, wie Forscher des Instituts für Medieninformatik an der Universität Ulm herausgefunden haben. Diese erlaube es einem Angreifer, sämtliche Daten, die ein Nutzer in seiner Kontaktliste, im Kalender oder bei Googles Fotodienst Picasa speichere, abzugreifen - aber nur dann, wenn sich der Nutzer mit seinem Handy in einem ungeschützten Netzwerk aufhalte.

Betroffen sind mehr als 99 Prozent aller Nutzer; nur weniger als ein Prozent nutzen bisher die neuen Android-Versionen 2.3.4., 3.0 und aufwärts. Hier hat Google bereits reagiert: "Wir haben das Problem in den jüngsten Android-Versionen für Kalender und Kontakte beheben können und sind dabei, es auch für Picasa zu lösen", sagte Unternehmenssprecher Kay Oberbeck gestern Mittag. Am Abend legte er dann nach: Google habe einen Weg gefunden, den Fehler innerhalb der nächsten Tage auch bei den älteren Versionen des Betriebssystems zu beheben, ohne dass die Nutzer dafür aktiv werden müssten.

Das Problem besteht bei WLAN-Netzwerken, drahtlosen Verbindungen ins Internet. Ein solches Funknetzwerk kann man zu Hause installieren, um Kabelsalat zu vermeiden, aber auch in vielen Cafés, Restaurants und an öffentlichen Plätzen wie Bahnhöfen und Flughäfen gibt es mittlerweile sogenannte Hot Spots, über die Nutzer mit ihrem Smartphone oder Laptop gratis oder kostenpflichtig online gehen können.

In geschützten Netzwerken wird die Verbindung zwischen Nutzer und Netzwerk codiert; zu erkennen an einem Schloss vor der Anzeige des Netzwerks. Hier kann niemand mitlesen. Anders in ungeschützten Netzwerken, in denen die Verbindung unverschlüsselt zustande kommt: Hier können versierte Angreifer grundsätzlich mitlesen, was ein Nutzer mit seinem Smartphone oder Laptop ins Internet übermittelt - aber eben "nur" diese Daten.

Beim Betriebssystem Android komme jedoch hinzu, dass die drei Anwendungen Contact, Calendar und Picasa ihre Authentifizierungsdateien, sogenannte ID-Token, unverschlüsselt übertragen würden. "Gelangt ein Angreifer an diese Tokens, kann er sich gegenüber den drei Google-Diensten als der Nutzer ausgeben, so direkt auf diese Anwendungen zugreifen und Kontakte und Termine ändern oder löschen", erläutert Florian Schaub vom Institut für Medieninformatik, der die Lücke mit den Informatikern Bastian Könings und Jens Nickels aufdeckte. Bei Google-Diensten findet eine Synchronisierung statt, sobald sich der Nutzer mit dem Internet verbindet. Wenn man etwa zu Hause am Computer bei Google Calendar einen neuen Termin einträgt, wird dieser auch auf das Android-Smartphone übertragen, sobald man damit online geht. Angreifer könnten diese Verbindung in einem ungeschützten Netzwerk abhören, indem sie sich in dieses Netzwerk einwählten oder ein eigenes W-LAN aufmachten, erläutert Schaub. Dazu müssten sie ihrem Laptop einen Netzwerk-Namen geben, der etwa häufig in Cafés verwendet werde, wie Free Wifi. Ein Android-Smartphone, das in die Reichweite dieses Hot Spots komme und mit dem gleichen Namen schon einmal in einem anderen Netzwerk angemeldet war, verbinde sich nun automatisch mit dem neuen Netzwerk - ohne dass der Besitzer es merke, so Schaub. Dann habe der Angreifer leichtes Spiel.

Wie genau Google das Problem bei den Versionen 1.5. bis 2.3.3. beheben will, wollte Sprecher Kay Oberbeck gestern nicht sagen. Das Unternehmen stellte neue Versionen von Android bisher nicht direkt online, sondern gab sie an die Hersteller weiter. Insofern könnte es sich eigentlich nur um einen Patch handeln, eine Korrektur, die Lücken in einer bestehenden Version schließt. Sollte das funktionieren, könnten auch jene Nutzer aufatmen, die ältere Smartphones nutzen, auf denen die neuen Android-Versionen nicht laufen.

Android hatte 2010 nach Schätzungen der Analysten von Gartner einen Marktanteil von etwa 23 Prozent - und lag damit an zweiter Stelle hinter Nokias Betriebssystem "Symbian" (37 Prozent) und vor Apple (16 Prozent).