[FONT="]Deutsche Forscher haben herausgefunden, dass 99 Prozent aller Android-Smartphones über ein gefährliches Datenleck die IDs ihrer Nutzer preisgeben.[/FONT]
[FONT="]Bastian Konings, Jens Nickels und Florian Schaub von der Universität Ulm sind bei ihren Untersuchungen zum Login-Verfahren von Android –Smartphones auf ein gefährliches Datenleck gestoßen. Die Grundlage dafür bildet die Verbindung zu Google-Diensten wie dem Google Kalender. Damit das Smartphone auf diese Services zugreifen kann, ist ein Authentifizierungs-Token erforderlich, der in Form einer persönlichen Nutzer-ID übermittelt wird. Wurde diese einmal von Google gespeichert, ist eine erneute Eingabe nicht mehr erforderlich und das Nutzer-Profil wurde für die entsprechende Applikation freigeschaltet.
In genau diesem Verfahren liegt das Sicherheitsrisiko, denn wie die Forscher der Universität Ulm herausfanden, werden diese Tokens meist unverschlüsselt, als reine Text-Nachricht über Drahtlos-Netzwerke versendet. Die IDs könnten von Kriminellen abgefangen und dazu genutzt werden, mit Hilfe von Android an weitere persönliche Nutzer-Informationen zu gelangen. So wäre unter anderem ein voller Zugriff auf Kontakte, Kalender-Daten oder private Web-Alben möglich. Weiterhin wäre es für die Angreifer ein Leichtes, gespeicherte E-Mail-Adressen zu ändern, in der Hoffnung, sensiblen Mail-Verkehr abzufangen. [/FONT]
[FONT="]Das Sicherheitsleck ist in so gut wie allen Android-Versionen zu finden und wurde erst mit der Version 2.3.4 gestopft. Diese Software-Ausführung wird jedoch nur von 0,3 Prozent aller Android-Kunden genutzt. Google hat bislang noch keine Stellung zur Sicherheitslücke bezogen.[/FONT]
[FONT="]Bastian Konings, Jens Nickels und Florian Schaub von der Universität Ulm sind bei ihren Untersuchungen zum Login-Verfahren von Android –Smartphones auf ein gefährliches Datenleck gestoßen. Die Grundlage dafür bildet die Verbindung zu Google-Diensten wie dem Google Kalender. Damit das Smartphone auf diese Services zugreifen kann, ist ein Authentifizierungs-Token erforderlich, der in Form einer persönlichen Nutzer-ID übermittelt wird. Wurde diese einmal von Google gespeichert, ist eine erneute Eingabe nicht mehr erforderlich und das Nutzer-Profil wurde für die entsprechende Applikation freigeschaltet.
In genau diesem Verfahren liegt das Sicherheitsrisiko, denn wie die Forscher der Universität Ulm herausfanden, werden diese Tokens meist unverschlüsselt, als reine Text-Nachricht über Drahtlos-Netzwerke versendet. Die IDs könnten von Kriminellen abgefangen und dazu genutzt werden, mit Hilfe von Android an weitere persönliche Nutzer-Informationen zu gelangen. So wäre unter anderem ein voller Zugriff auf Kontakte, Kalender-Daten oder private Web-Alben möglich. Weiterhin wäre es für die Angreifer ein Leichtes, gespeicherte E-Mail-Adressen zu ändern, in der Hoffnung, sensiblen Mail-Verkehr abzufangen. [/FONT]
[FONT="]Das Sicherheitsleck ist in so gut wie allen Android-Versionen zu finden und wurde erst mit der Version 2.3.4 gestopft. Diese Software-Ausführung wird jedoch nur von 0,3 Prozent aller Android-Kunden genutzt. Google hat bislang noch keine Stellung zur Sicherheitslücke bezogen.[/FONT]
