Essen. Wer sein Android-Handy in einem Drahtlos-Netzwerk betreibt und das Gerät mit seinem Google-Konto synchronisiert, legt das Passwort für das heimische WLAN auch auf dem Google-Server ab – und zwar unverschlüsselt. Eine Sicherheitslücke, die schon seit längerem bekannt ist.
Dem US-Konzern Google ist ein Lapsus passiert, der für Firmen aber auch Privatpersonen negative Folgen haben könnte: Das Handy-Betriebssystem Android überträgt Passwörter für drahtlose Netzwerke (WLAN) an Google, ohne sie vorher zu verschlüsseln. Die Sicherheitslücke ist seit längerem bekannt. Unternommen hat Google dagegen bislang aber wohl nichts.
Die Funktion ist Teil der Einstellungen, mit denen Nutzer die Inhalte ihres Smartphones (Kontakte, Programme) auf Google-Servern sichern können, um sie im Falle eines Handy-Verlustes oder -Wechsels bequem zurückspielen zu können. Eine entsprechende Einstellung ist bei vielen Geräten, etwa dem Google-Smartphone „Nexus 4“, Standard.
Private Handys in Firmennetzwerken
Wer sich mit seinem Handy im heimischen WLAN anmelden möchte, muss dafür in der Regel ein Passwort angeben. Um nicht bei jeder Neuanmeldung das oft kryptische Kennwort neu eingeben zu müssen, speichern die meisten Android-Nutzer dieses direkt in ihrem Telefon. Wer das Gerät mit seinem Google-Konto synchronisiert, überträgt das Passwort ungeschützt an Google-Server.
Auch interessant
In Kombination mit Standortdaten, die Google-Handys auch sammeln, ließe sich dadurch genau feststellen, wo sich dieses drahtlose Netzwerk befindet, monieren Kritiker. Google-Mitarbeiter und solche, die Zugriff auf die Daten haben, könnten sich so Zutritt zum Heimnetzwerk des Handy-Nutzers verschaffen.
Vor allem für Firmen birgt die unverschlüsselte Speicherung der WLAN-Passwörter Risiken. Immer mehr Unternehmen erlauben es beispielsweise ihren Mitarbeitern, mit privaten Geräten im Firmen-WLAN unterwegs zu sein. Nutzen diese Mitarbeiter die automatische Synchronisation mit ihrem Handy, werden die Daten zu Google übertragen.
Opfer von Wirtschaftsspionage
Vor dem Hintergrund des aktuellen Abhörskandals durch den US-Geheimdienst NSA wird daraus eine ganz neue Bedrohung. Die Unternehmen könnten Opfer von Wirtschaftsspionage werden, wenn US-Geheimdienste die von Google gesammelten Daten an US-Konkurrenten heimischer Firmen weitergeben.
Auch interessant
Wer verhindern möchte, dass sein Passwort für das heimische Drahtlos-Netzwerk an Google weitergegeben wird, dem sei ein Wechsel des WLAN-Passwortes empfohlen. Vorher sollten Handy-Nutzer den Datenabgleich allerdings ausschalten. Die Option findet sich beispielsweise bei Android 4.2 im Menü „Einstellungen“ unter „Sichern & zurücksetzen“ und heißt „Meine Daten sichern“. Wer das Häkchen dort entfernt, dessen Passwort wird nicht mehr weitergegeben. Das gilt allerdings auch für andere Einstellungen. Deshalb sollte man genau abwägen, ob man auf eine Sicherung angewiesen ist oder nicht.
Bei Apple gibt es laut dem Technik-Portal heise.de eine solche Sicherheitslücke übrigens nicht. Der iPhone- und iPad-Hersteller hat offenbar vorgesorgt. Die Passwörter für das heimische Drahtlos-Netzwerk werden zwar auch bei der Synchronisation auf Apple-Servern abgelegt, werden allerdings vorher verschlüsselt. Nur in Kombination mit dem jeweiligen Handy, auf dem das Netzwerk vorher eingerichtet war, ist ein Auslesen des Passwortes möglich, sagt Apple.
Sicherheitslücke auch bei neueren Blackberrys
Auch bei neuen Blackberry-Geräten ist am Donnerstag eine Sicherheitslücke bekannt geworden. Die Handys schicken die Zugangsdaten von E-Mail-Konten bei der Einrichtung ungefragt an Server des Herstellers. Das berichtet „Heise Security“ und beruft sich dabei unter anderem auf einen Blogeintrag von Frank Rieger vom Chaos Computer Club (CCC). Bei der Einrichtung eines E-Mail-Accounts auf Smartphones mit der Betriebssystem-Version 10 würden Nutzername und Passwort an Blackberry-Server übermittelt. Die Übertragung laufe zwar verschlüsselt und sei dadurch vor dem Zugriff Dritter geschützt. Für das Unternehmen seien die Daten aber lesbar. Blackberry gab zu dem Sachverhalt trotz Anfrage zunächst keine Stellungnahme ab.
Die Experten empfehlen Betroffenen, die Passwörter betroffener E-Mail-Konten sicherheitshalber zu ändern und bis zur Klärung der Vorgänge keine neuen Mail-Accounts auf ihren Blackberrys einzurichten. Als Alternative könnten die Nutzer zum Beispiel die Open-Source-Anwendung K9 installieren, empfiehlt CCC-Sprecher Rieger. Eine weitere Möglichkeit sei es, das Mail-Konto über den Button „Erweitert“ einzurichten. In diesem Fall werden „Heise Security“ zufolge keine Zugangsdaten übertragen. (mit dpa)
