Berlin. .

Deutsche Forscher haben ein Datenleck im Handybetriebssystem von Google entdeckt. Hacker können auf persönliche Kalender, Kontakte und Fotos zugreifen, wenn der Nutzer offenes WLAN benutzt.

Nutzer von Smartphones mit dem Google-System Android laufen Gefahr, Angreifern Zugang zu wichtigen privaten Daten zu ermöglichen. Informatiker aus Ulm berichten, dass bei der Nutzung offener WLAN-Netze Angreifer sehr einfach Daten lesen, ändern und löschen können. Google erklärte am Mittwoch, das Problem sei bekannt und der Konzern arbeite an einer Lösung.

Die Informatiker der Universität Ulm beschreiben die Sicherheitslücke in einem Blogeintrag. Betroffen sind demnach Besitzer von Android-Smartphones, die zumindest gelegentlich öffentliche WLAN-Netze etwa in Cafés, Hotels oder an Flughäfen nutzen. Die darüber gesendeten Daten sind grundsätzlich erst einmal nicht verschlüsselt - weshalb Nutzer hier immer große Vorsicht walten lassen sollten.

Bestimmte Android-Standarddienste nutzen keine Verschlüsselung

Sicher gehen können sie nur, wenn sie Dienste nutzen, die eine sichere Verbindung verwenden - wie etwa beim Onlinebanking. Allerdings nutzen bestimmte Android-Standarddienste, etwa das Synchronisieren von Kontakten oder dem Kalender, keine Verschlüsselung. Die gesandten Daten können daher mit wenig technischem Wissen mitgelesen werden.

Den Ulmer Forschern zufolge werden aber auch die Anmeldedaten unverschlüsselt übertragen. Denn dafür werden vom Smartphone nicht jedes Mal Benutzername und Passwort verschickt. Stattdessen nutzen die entsprechenden Google-Dienste sogenannte Tokens, eine Art Ersatzschlüssel zum Zugriff auf die Nutzerdaten. Die Tokens sind demnach bis zu 14 Tage gültig.

Fängt ein potenzieller Angreifer diesen Schlüssel ab, erhält er damit vollen Zugriff etwa auf den Kalender, die Kontakte oder die Fotosammlung des Smartphone-Nutzers. Denkbar ist, dass er die Daten einfach nur liest, dass er sie löscht, aber auch, dass er sie leicht verändert, ohne dass dies dem Nutzer sofort auffällt. Er könnte etwa die E-Mail-Adresse eines Kontaktes ändern - und dann private oder geschäftliche E-Mails abfangen.

Laut Sprecher arbeite Google bereits an einer Lösung

Ein Google-Sprecher sagte, der Internetkonzern arbeite bereits an einer Lösung: „Wir sind uns des Themas bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für (den Fotodienst) Picasa zu lösen.“ In diesen neuen Versionen werden die Tokens verschlüsselt übertragen. Fast alle Besitzer von Android-Handys nutzen allerdings noch ältere Versionen - und können diese auch nicht aktualisieren.

Für den Smartphone-Experten Daniel Bachfeld von der Computerzeitschrift „c“t“ ist diese Sicherheitslücke bei den Google-eigenen Anwendungen „sehr unschön“. „Eigentlich sind aber die offenen WLANs das Problem“, sagte er AFP. Es gebe sehr viele Anwendungen für Internethandys, die unverschlüsselt Daten schickten - selbst von so bekannten Diensten wie Twitter.

Nutzern, die ihr System nicht auf die neueste Android-Version aktualisieren können, bleibt als Lösung zunächst nur, das automatische Synchronisieren abzuschalten, sobald sie sich in ein offenes WLAN-Netzwerk einbuchen. Zudem sollten sie offene Netzwerke nach der Benutzung aus ihrer WLAN-Liste löschen - dann bucht sich das Handy dort nicht mehr automatisch ein. (afp/dapd)