1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Android und die Passwörter: Offene Türen für Spionage

Dieses Thema im Forum "Handy - Navigation News" wurde erstellt von josef.13, 16. Juli 2013.

  1. josef.13
    Offline

    josef.13 Modlehrling Newsbereich Digital Eliteboard Team Modlehrling

    Registriert:
    1. Juli 2009
    Beiträge:
    15.596
    Zustimmungen:
    15.171
    Punkte für Erfolge:
    113
    Ort:
    Sachsen
    Mit "Meine Daten sichern" speichert Android unter anderem WLAN-Passwörter im Klartext bei Google. Das ist zwar

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    , aber insbesondere Firmen sollten das im Licht des jüngsten Abhörskandals nochmal neu bewerten.


    [​IMG]
    Die Datensicherung ist auf vielen Android-Smartphones aktiv.

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    Diese Sicherung ist zumindest auf einem Google Nexus standardmäßig eingeschaltet; ein wie auch immer geartetes Passwort ist dafür nicht vorgesehen. Zu Gute halten kann man dem US-Konzern immerhin, dass er den Sachverhalt mit "WLAN-Passwörter ... auf Google-Servern sichern" klar beschreibt. In Tests von heise Security konnte sich denn auch ein auf Werkseinstellungen zurückgesetztes Android-Smartphone sofort nach der Synchronisierung mit einem Google-Account in ein WPA2-gesichertes Heise-Testnetz einbuchen. Jeder der Zugang zu dem Google-Account hat, kommt folglich auch an das WLAN-Passwort.

    Das ist schon deshalb bedenklich, weil Google für die Positionsbestimmung bereits eine Datenbank von WLANs in aller Welt unterhält und mit den Sicherungen die dafür benötigten Passwörter ebenfalls parat hat. Angesichts Googles freizügiger Datenweitergabe an die NSA gewinnt das noch deutlich an Brisanz. Immerhin ist die NSA ja nicht ausschließlich auf Terrorabwehr beschränkt, sondern wurde auch im Zusammenhang mit Wirtschaftsspionage bereits aktenkundig.

    Zwar ist vielleicht die Gefahr gering, dass sich Google- oder NSA-Mitarbeiter bei Lieschen Müller vorm Haus heimlich in deren Heimnetz umsehen. Doch in Firmen ist das WLAN-Passwort im Rahmen des Single Sign On häufig auch die Zugangskennung zur Firmen-Mail, dem Firmen-Netz via VPN und vielem mehr. Und deutschen Firmen dürfte es gar nicht schmecken, dass ein US-Geheimdienst durch deren standardmäßiger Sicherung ohne großen Aufwand dort überall Zugang erlangen kann.

    Zumindest einige Hochschulen reagieren bereits. So erklärt

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    ihren Anwendern, dass "die Weitergabe von Passwörtern an Dritte (auch wenn sie automatisiert geschieht) in §6 der Benutzungsbedingungen des Rechenzentrums verboten" ist und empfiehlt deshalb dringend, "diese Funktion abzuschalten und danach sämtliche Passwörter zu ändern, die auf dem Gerät gespeichert sind!"

    Warum einem so auf Sicherheit bedachten Konzern wie Google ein solcher Lapsus unterlaufen ist, lässt sich kaum erklären. Immerhin bietet auch Googles Chrome bereits seit langem eine Option, die mit der

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    gespeicherten Internet-Passwörter mit einem nur dem Nutzer bekannten Passwort zu schützen.

    Dass man mit den sicherheitskritischen Daten der Anwender auch beim Backup sensibler umgehen kann, beweist Konkurrent Apple. Das iPhone speichert (WLAN-)Passwörter in der sogenannten Keychain. Diese Keychain wird zwar bei Backups in der iCloud ebenfalls mit gesichert -- aber dabei mit einem Key verschlüsselt, der fest an das jeweilige Gerät gebunden und nicht auslesbar ist. Der iPhone-Hersteller versichert, dass weder Apple noch seine Zulieferer eine Kopie der 256-Bit-AES-Schlüssel haben. Die Passwörter lassen sich somit nur dann wieder herstellen, wenn das Backup in das gleiche Gerät eingespielt wird, das dann die verschlüsselte Keychain wieder auspacken kann.

    Will man Backups inklusive aller Passwörter auf ein anderes Gerät migrieren, muss man ein lokales Backup mit einem Passwort anlegen, das Apple dann ebenfalls nicht kennt. Ein Kurztest von heise Security bestätigt diesen von Apple in der Dokumentation zu

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    beschriebenen Sachverhalt zumindest in soweit, dass die WLAN-Passwörter nach einer Wiederherstellung aus einem iCloud-Backup auf einem zweiten Gerät nicht vorhanden waren.

    Quelle: heise
     
    #1
    Borko23 und Trollkopf gefällt das.

Diese Seite empfehlen