18.07.2013, 11:50 Uhr | 0 |

Datensicherheit in Android Passwörter für W-LAN landen unverschlüsselt bei Google

Die Datensicherungsfunktion von Googles Betriebssystem Android sendet unter anderem die W-LAN-Passwörter der Smartphone-Nutzer unverschlüsselt auf den Konzernserver. Die Sensibilität der Öffentlichkeit für solche Datensammlungen ist gestiegen.

Google-Datenzentrum
Á

Über die Router und Switches im Campus-Netzwerkraum können Googles Rechenzentren miteinander kommunizieren. Die Verbindung über Glasfasernetzwerke ist bis zu 200.000-mal schneller als die haushaltsübliche Internetverbindung. Die Glasfaserkabel verlaufen entlang der gelben Kabeltrassen. 

Bildquelle: Google

Vor wenigen Tagen wies Micah Lee, Technikchef der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF), im Android-Entwicklerforum auf eine brisante Sicherheitslücke im Google-Konzern hin. „Die Funktion ‚Meine Daten sichern‘ in Android ist zwar bequem“, schreibt Lee, „aber es bedeutet, dass eine Menge privater Informationen, darunter auch Passwörter, unverschlüsselt an Google geschickt werden. Für diese Informationen könnten sich auch Regierungsstellen interessieren.“

Den meisten Nutzern ist die Speicherung der Passwörter nicht bewusst

Betroffen sind die persönlichen Daten der Anwender, wobei vor allem die Passwörter eine besonders brisante Rolle spielen. Vermutlich geht es um viele Millionen Passwörter, zumal die Backup-Funktion standardmäßig aktiviert ist. Den meisten Smartphone-Nutzern dürfte also gar nicht bewusst sein, was ihr Betriebssystem Android im Hintergrund ausführt.

Die Übertragung der W-LAN-Zugangsdaten an die Google-Server ist einerseits äußerst praktisch. Der Google-Account merkt sich die Passwörter von allen W-LAN-Netzen, in die der Nutzer sich jemals eingewählt hat und macht das erneute Einwählen völlig umstandslos. Auch beim Einrichten eines neuen Handys stehen die vormals gespeicherten Passwörter zur Verfügung, sobald der Nutzer seinen Google-Account aufruft.

Andererseits speichert Google, wie der Öffentlichkeit jetzt bewusst wird, die Passwörter unverschlüsselt auf den eigenen Servern und jeder, der Zugang zum Google-Account hat, ist damit auch im Besitz des W-LAN-Passwortes.

Außerdem führt Google eine Datenbank von W-LAN-Netzwerken (SSID), damit auch ohne GPS-Signal etwa bei der Navigations-App die aktuelle Position bestimmt werden kann. Bei einer Kombination beider Datensätze steht theoretisch jedes W-LAN offen, in das sich einmal ein Android-Gerät eingewählt hat.

Unverschlüsselte Firmen-Passwörter auf den Google-Servern

Besonders Organisationen und große Konzerne, die ihren Mitarbeitern über das W-LAN-Passwort den Zugang zum Netz und zum Mailingdienst anbieten, dürften jetzt hellhörig geworden sein. Zunehmend werden auch private Geräte im Rahmen von „Bring your own device“ in den Firmennetzen eingesetzt, so dass das unverschlüsselte Firmen-Passwort auch über diesem Wege auf die Google-Server gerät.

Das Rechenzentrum der Universität Passau hat bereits reagiert und seinen Anwendern „die Weitergabe von Passwörtern an Dritte (auch wenn sie automatisiert geschieht)“ in den Benutzungsbedingungen verboten. Die Uni empfiehlt dringend, „diese Funktion abzuschalten und danach sämtliche Passwörter zu ändern, die auf dem Gerät gespeichert sind“.

Empfehlungen gibt es inzwischen auch an die privaten Anwender, zum Beispiel von der Redaktion der Seite „Android User“: „Android User empfiehlt das Backup zu deaktivieren und die Zugangsdaten zu Ihrem W-LAN zu ändern, was Sie sowieso in unregelmäßig regelmäßigen Abständen tun sollten. Vielleicht ist diese Nachricht ein guter Anlass sich mit dem Thema auseinanderzusetzen. Viele Heimanwender nutzen noch immer das im Router voreingestellte Passwort.“

Von Gudrun von Schoenebeck
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden