Unverschlüsselte Auth Token bei Kontakten, Kalendern und Picasa
Zur Zeit ist die Diskussion, zum oben genannten Problem beim Android OS, ja gerade heiß wie ein Waldbrand und auch ich wollte dazu jetzt einmal etwas sagen. Wie schlimm ist die Lücke? Username und Passwort werden nicht abgefangen, es wird ein Token abgefangen der für die jeweiligen App erstellt wird und dieser kann abgefangen werden. Damit ist es dem Angreifer möglich bis zu 14 Tage die Daten der App zu nutzen und zu verändern. Wo / Wann kann das ganze passieren? In öffentlichen ungesicherten WLANs, denn dort können fremde Personen euren Traffic mitschneiden und somit auch euren Token erhalten. Wer ist betroffen? Alle Android Nutzer mit einer Version unter 2.3.4, also 99% aller Nutzer. Warum passiert das ganze so “einfach”? Da Android sich mit bekannten WLANs wieder verbindet und dort nur nach dem Namen filtert und zusätzlich bei WLAN Verbindung standardmäßig direkt die Synchronisation startet, ist das ganze so problematisch. Was kann man tun? Grundsätzlich offene WLANs meiden, viel mehr kann man als Person nicht tun. Und hoffen das für das eigene Gerät ein Update auf 2.3.4 kommt, denn dort wurde zumindest für den Kalender und die Kontakte das Problem behoben. Meine Meinung dazu: Offene WLANs so schön sie sind, habe ich noch nie genutzt und werde ich auch nicht. Guter 3G Tarif, eigenes WLAN oder anderes sicheres WLAN und alle sind glücklich. Der versierte Nutzer kann darüber hinaus via VPN eine komplett verschlüsselte Verbindung aufbauen. Android ist nicht unsicherer als viele andere und das beziehe ich nicht nur auf andere mobile Geräte, sondern auch auf Webseite, E-Mail versenden und diverse andere Dienste. Viele nutzen tagtäglich Logins auf ihren favorisierten Seiten ohne SSL und das auf dem Notebook in irgendwelchen WLANs. Es gibt einfach zu viele Dienste die nicht verschlüsselt sind. Für mich ist das ganze kein Problem, denn wie gesagt nutze ich keine offenen WLANs. Ich bin nicht objektiv, denn ich mag Android und verteidige es natürlich und der Fehler sollte behoben werden und die Update-Strategie von Android sollte dynamischer werden (Update von System Apps usw.) aber ich denke die derzeitigen Wellen die das ganze schlägt sind übertrieben. Was meint ihr zu diesem Thema?