Datensicherheit in Android 18.07.2013, 11:50 Uhr

Passwörter für W-LAN landen unverschlüsselt bei Google

Die Datensicherungsfunktion von Googles Betriebssystem Android sendet unter anderem die W-LAN-Passwörter der Smartphone-Nutzer unverschlüsselt auf den Konzernserver. Die Sensibilität der Öffentlichkeit für solche Datensammlungen ist gestiegen.

Über die Router und Switches im Campus-Netzwerkraum können Googles Rechenzentren miteinander kommunizieren. Die Verbindung über Glasfasernetzwerke ist bis zu 200.000-mal schneller als die haushaltsübliche Internetverbindung. Die Glasfaserkabel verlaufen entlang der gelben Kabeltrassen. 

Über die Router und Switches im Campus-Netzwerkraum können Googles Rechenzentren miteinander kommunizieren. Die Verbindung über Glasfasernetzwerke ist bis zu 200.000-mal schneller als die haushaltsübliche Internetverbindung. Die Glasfaserkabel verlaufen entlang der gelben Kabeltrassen. 

Foto: Google

Vor wenigen Tagen wies Micah Lee, Technikchef der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF), im Android-Entwicklerforum auf eine brisante Sicherheitslücke im Google-Konzern hin. „Die Funktion ‚Meine Daten sichern‘ in Android ist zwar bequem“, schreibt Lee, „aber es bedeutet, dass eine Menge privater Informationen, darunter auch Passwörter, unverschlüsselt an Google geschickt werden. Für diese Informationen könnten sich auch Regierungsstellen interessieren.“

Den meisten Nutzern ist die Speicherung der Passwörter nicht bewusst

Betroffen sind die persönlichen Daten der Anwender, wobei vor allem die Passwörter eine besonders brisante Rolle spielen. Vermutlich geht es um viele Millionen Passwörter, zumal die Backup-Funktion standardmäßig aktiviert ist. Den meisten Smartphone-Nutzern dürfte also gar nicht bewusst sein, was ihr Betriebssystem Android im Hintergrund ausführt.

Die Übertragung der W-LAN-Zugangsdaten an die Google-Server ist einerseits äußerst praktisch. Der Google-Account merkt sich die Passwörter von allen W-LAN-Netzen, in die der Nutzer sich jemals eingewählt hat und macht das erneute Einwählen völlig umstandslos. Auch beim Einrichten eines neuen Handys stehen die vormals gespeicherten Passwörter zur Verfügung, sobald der Nutzer seinen Google-Account aufruft.

Andererseits speichert Google, wie der Öffentlichkeit jetzt bewusst wird, die Passwörter unverschlüsselt auf den eigenen Servern und jeder, der Zugang zum Google-Account hat, ist damit auch im Besitz des W-LAN-Passwortes.

Außerdem führt Google eine Datenbank von W-LAN-Netzwerken (SSID), damit auch ohne GPS-Signal etwa bei der Navigations-App die aktuelle Position bestimmt werden kann. Bei einer Kombination beider Datensätze steht theoretisch jedes W-LAN offen, in das sich einmal ein Android-Gerät eingewählt hat.

Unverschlüsselte Firmen-Passwörter auf den Google-Servern

Besonders Organisationen und große Konzerne, die ihren Mitarbeitern über das W-LAN-Passwort den Zugang zum Netz und zum Mailingdienst anbieten, dürften jetzt hellhörig geworden sein. Zunehmend werden auch private Geräte im Rahmen von „Bring your own device“ in den Firmennetzen eingesetzt, so dass das unverschlüsselte Firmen-Passwort auch über diesem Wege auf die Google-Server gerät.

Das Rechenzentrum der Universität Passau hat bereits reagiert und seinen Anwendern „die Weitergabe von Passwörtern an Dritte (auch wenn sie automatisiert geschieht)“ in den Benutzungsbedingungen verboten. Die Uni empfiehlt dringend, „diese Funktion abzuschalten und danach sämtliche Passwörter zu ändern, die auf dem Gerät gespeichert sind“.

Empfehlungen gibt es inzwischen auch an die privaten Anwender, zum Beispiel von der Redaktion der Seite „Android User“: „Android User empfiehlt das Backup zu deaktivieren und die Zugangsdaten zu Ihrem W-LAN zu ändern, was Sie sowieso in unregelmäßig regelmäßigen Abständen tun sollten. Vielleicht ist diese Nachricht ein guter Anlass sich mit dem Thema auseinanderzusetzen. Viele Heimanwender nutzen noch immer das im Router voreingestellte Passwort.“

Top Stellenangebote

ENERCON-Firmenlogo
ENERCON Versuchs- und Projekt-ingenieur (m/w) Generatorprüfung Aurich
Diehl Defence GmbH & Co. KG-Firmenlogo
Diehl Defence GmbH & Co. KG Entwicklungsingenieur (m/w) Röthenbach a. d. Pegnitz
Krankenhaus der Barmherzigen Brüder Trier-Firmenlogo
Krankenhaus der Barmherzigen Brüder Trier Bauingenieur/-in / Bautechniker/-in Trier
über JK Personal Consult GmbH-Firmenlogo
über JK Personal Consult GmbH Leiter Elektrokonstruktion (m/w) Dreieck Bielefeld-Dortmund- Paderborn
Berlin Metropolitan School-Firmenlogo
Berlin Metropolitan School Rewarding Career Bauleiter / Projektleiter (m/w) Berlin
über IRC - International Recruitment Company Germany GmbH-Firmenlogo
über IRC - International Recruitment Company Germany GmbH Eisenbahningenieur (m/w) München
Odenwald-Chemie GmbH-Firmenlogo
Odenwald-Chemie GmbH Projektleiter (w/m) Neckarsteinach
Andritz Separation GmbH-Firmenlogo
Andritz Separation GmbH Ingenieur (m/w) für Zentrifugen im Aftermarket Krefeld
BORSIG Membrane Technology GmbH-Firmenlogo
BORSIG Membrane Technology GmbH Projektingenieur/-in im verfahrenstechnischen Anlagenbau Rheinfelden
über KÖNIGSTEINER AGENTUR GmbH-Firmenlogo
über KÖNIGSTEINER AGENTUR GmbH Geschäftsführer (m/w) in der Kunststoffbranche neue Bundesländer