Sicher­heits­lücke bei Android-Handys Meldung

Das Betriebs­system Android schützt Daten nur unzu­reichend. Wer mit dem Android-Smartphone offene WLAN-Netze nutzt, gibt Angreifern die Chance zum Mitlesen, Ändern und Löschen. Dies offen­barten Informatiker der Uni Ulm. test.de gibt Tipps, wie Sie Ihr Smartphone sichern.

Offene WLAN-Netz­werke

Grund­sätzlich kann jeder beliebige Nutzer eines offenen WLAN-Netz­werks die über­tragenen Daten der übrigen einge­loggten Nutzer mitlesen. Etwa in einem Café, einem Hotel oder am Flughafen. Das funk­tioniert mit Smartphones wie Android oder iPhones genauso wie mit Notebooks. Solange die Verbindung nicht verschlüsselt ist. Android-Handys über­tragen jedoch auch bestimmte Anmelde­daten unver­schlüsselt. Wenn sich ein Nutzer mit seinem Android-Smartphone in ein offenes WLAN-Netz­werk einbucht, können andere Personen diese Daten mitlesen. Denn für die Anmeldung verschickt das Smartphone nicht jedes Mal Benutzer­name und Pass­wort. Statt­dessen nutzen die Google-Dienste sogenannte Tokens, eine Art Ersatz­schlüssel zum Zugriff auf die Nutzer­daten. Die Tokens sind bis zu 14 Tage gültig.

Unbe­merkter Zugriff

Fängt ein Angreifer diesen Schlüssel ab, erhält er damit vollen Zugriff auf Kalender, Kontakte oder Fotos des Smartphone-Nutzers. Damit kann er die Daten nicht nur lesen, sondern auch löschen und verändern. Der Nutzer merkt das nicht. So lassen sich auch private oder geschäftliche E-Mails abfangen: Einfach die E-Mail-Adresse eines Kontaktes ändern und schon landen alle für diesen Kontakt bestimmten E-Mails an der falschen Adresse. Unbe­denk­lich sind nur sichere Verbindungen – wie etwa beim Online­banking.

WLAN-Liste löschen

In der neuesten Android-Version (3.1) ist die Sicher­heits­lücke teil­weise geschlossen. Wer kann, sollte ein Update durch­führen. Doch fast alle Besitzer von Android-Handys nutzen ältere Versionen. Die lassen sich nicht so einfach aktualisieren. In diesem Fall sollten Android-Nutzer das auto­matische Synchronisieren deaktivieren, wenn sie offene WLAN-Netze nutzen. Zudem sollten sie offene Netz­werke immer aus ihrer WLAN-Liste löschen – dann bucht sich das Handy dort nicht mehr auto­matisch ein.

[Update 19.05.2011]

Google hat die Sicher­heits­lücke inzwischen geschlossen. Ein Google-Sprecher erklärte, Besitzer von Android-Handys müssten nichts unternehmen. Die Fehler­behebung bedarf keiner aktiven Hand­lung durch die Nutzer. Sie wird in den nächsten Tagen global ausgeführt.

Hoher krimineller Aufwand

Grund­sätzlich sind Smartphones genauso durch Viren oder Angriffe gefährdet wie Computer. Bislang gibt es allerdings kaum Schad­programme für Smartphones. Ein Grund dürfte sein, dass es noch Millionen ungeschützter Computer gibt. Die Online-Kriminellen fischen lieber erst dort, bevor sie sich aufwändig anderweitig orientieren. Für Angriffe auf Smartphones müssten sie sich auf eine Vielzahl unterschiedlicher Platt­formen einstellen: das iPhone-System iOS, Android von Google oder Wind­ows Phone 7 von Microsoft. Das erhöht den Aufwand für Viren­programmierer – sie müssten ihre Schad­programme an alle Systeme anpassen. Trotzdem ist schädliche Software für Smartphones bereits aufgetaucht.

Gut geschützt

Bisher gibt es hier­zulande nur wenige Anti-Viren-Programme und Firewalls für Smartphones. Denn Smartphones sind recht gut gegen Angriffe geschützt. Anders als PCs entscheiden die Geräte selbst, welche Anwendungen auf ihnen laufen. Apples iPhone zum Beispiel lässt nur geprüfte Apps aus dem haus­eigenen App Store zu. Bisher haben es nur wenige Schad­programme durch diese Sicher­heits­schleuse geschafft. Smartphones mit dem Betriebs­system Android erlauben zwar auch Anwendungen, die nicht aus dem Android Market stammen. Für sie kann jeder selbst geschriebene Programme anbieten. Doch Nutzer kommentieren und bewerten diese. Bei mehreren schlechten Bewertungen prüft Google die Anwendung und entfernt sie wenn nötig. Wenn sich eine App als schadhaft heraus­stellt, verschwindet sie nicht nur aus dem Android Market sondern fern­gesteuert von allen Android Geräten. Tipp: Bei der Installation geben Apps an, welche Rechte sie erfordern. Verlangt ein Spiel Zugriff auf SMS oder GPS, sollten Sie stutzig werden.

Verlust viel wahr­scheinlicher

Die Gefahr eines Diebstahls oder Verlustes ist deutlich höher als die Gefahr durch Viren. Rund zwei Prozent der Smartphone-Nutzer verlieren ihr Gerät. Wer sensible Daten, Pass­wörter oder Zugangs­codes zu Firmennetz­werken auf dem Smartphone hat, sollte diese schützen.

Tipps

  • Über­tragen Sie in offenen WLAN-Netz­werken keine sensiblen Daten.
  • Surfen Sie in offenen WLAN-Netzen keine Websites mit Pass­wort­abfrage an. Achten Sie auf SSL-Verschlüsselung. Diese verschlüsselt die Daten im Netz­werk.
  • Deaktivieren Sie die auto­matische Synchronisation ihres Kalenders und der Emails in diesen Netz­werken.
  • Sperren Sie Ihr Smartphone mit Pass­wort oder Pin.
  • Synchronisieren Sie wichtige Daten regel­mäßig mit dem Computer.
  • Installieren Sie eine Ortungs­software auf dem Smartphone. Zum Beispiel die Anwendung Find My iPhone zeigt den Aufenthalts­ort des Geräts und löscht auf Befehl auch fern­gesteuert alle Daten. Für Android-Nutzer heißt die Anwendung Lost Phone.
  • Benutzen Sie Ihren Verstand, bevor Sie Ihre Pass­wörter auf unbe­kannten Webseiten eingeben. Denn vor Einladungen für Phishing-Atta­cken sind auch Smartphones nicht geschützt.

Dieser Artikel ist hilfreich. 1394 Nutzer finden das hilfreich.