Deutsche Forscher finden Datenleck in Googles Android

Zum Themendienst-Bericht von Andrej Sokolow vom 2. März: Die Bedrohung ist greifbar geworden: Kriminelle haben es inzwischen auch auf Smartphone-Betriebssysteme abgesehen. Über Schadsoftware versuchen sie an sensible Daten wie Kreditkartennummern zu kommen. (Die Veröffentlichung ist für dpa-Themendienst-Bezieher honorarfrei.) Foto: Andrea Warnecke/dpa/tmn © dpa | dpa-tmn

Ein weiterer Datenskandal? Das Betriebsystem Android von Google soll durch eine Sicherheitslücke Eingaben von Handynutzern preisgeben.

Berlin. Der Internetkonzern Google sieht sich mit Vorwürfen beim Umgang mit den Daten seiner Nutzer konfrontiert. IT-Experten der Universität Ulm wollen eine Sicherheitslücke in der Plattform Android entdeckt haben, die Google Herstellern sogenannter Smartphones kostenfrei zur Verfügung stellt.

Wie „Spiegel Online“ in der Nacht zum Mittwoch weiter berichtete, könnten Hacker in WLAN-Netzen, mit denen Nutzer unter anderem in Cafés oder in Unternehmen frei im Internet surften, „sämtliche Daten mitlesen, die ein Benutzer seinem Handy-Kalender, seiner Kontaktliste oder dem Android-Fotoprogramm anvertraut“ – zumindest solange diese nicht verschlüsselt seien.

Bastian Könings, Wissenschaftlicher Mitarbeiter am Ulmer Institut für Medieninformatik, sagte dem Portal zufolge zu der von seinem Team entdeckten Schwachstelle in Android: „Dafür muss man noch nicht einmal studiert haben.“ Die Schnittstellen, derer sich Kriminelle bedienen könnten, seien von Google selbst sehr gut dokumentiert. „Diese Angriffe sind sehr einfach“, sagte Könings.

Google kündigte an, die Sicherheitslücke bei Android zu schließen. „Wir sind uns des Themas bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen“, sagte ein Google-Sprecher.

Von der Sicherheitslücke sind die älteren Android-Varianten betroffen, die nach Angaben der Forscher am Institut für Medieninformatik der Universität Ulm derzeit noch 99,7 Prozent aller Android-Geräte ausmachen.

Die Forscher hatten in einem bereits vergangene Woche veröffentlichten Papier angeprangert, dass die drei Android-Apps ihre sogenannten ID-Token unverschlüsselt senden. Ist auch die Verbindung zu einem WLAN-Netzwerk ungeschützt, habe ein Angreifer damit leichtes Spiel.

Sicherheitsexperten warnen allerdings generell immer wieder davor, Daten in offenen WLAN-Netzen zu versenden. Das gilt nicht nur für Smartphones, sondern auch für herkömmliche Personal Computer.

Zugleich ist die unverschlüsselte Verbindung zu Webdiensten ein bekanntes Problem. Große Aufregung gab es vor ein paar Monaten, als Sicherheitsexperten demonstrierten, wie leicht etwa Facebook- oder Twitter-Sitzungen gekapert werden können, wenn ein Angreifer die unverschlüsselt gesendeten Verbindungsinformationen abgreift.

Die Dienste bieten inzwischen die sichere Verbindung über das Protokoll HTTPS an. Auch die betroffenen Google-Apps greifen in den neueren Android-Versionen laut den Ulmer Forschern zu HTTPS.