Seit Vorgestern ist bekannt: 99-Prozent aller Android-Geräte besitzen eine Sicherheitslücke. Dabei kann ein Identifizierungsschlüssel (‘authToken‘) in nicht gesicherten WiFi-Netzen ausgelesen werden und zum Datenklau von Kontakten, Kalender-Einträgen und persönlichen Foto dienen. Dies gilt für alle Telefone und Tablets mit Google-Betriebssystem, die in Version 2.3.3 oder mit einer älteren Firmware betrieben werden. Laut offiziellen Statistiken betrifft dies derzeit nahezu alle Geräte.
Speziell in einem stark fragmentierten Markt, wie er sich aktuell beim iOS-Konkurrenten abbildet, besitzt ein genau solches Problem enorme Auswirkungen.
Google erkennt die Forschungsergebnisse, die an der Universität Ulm veröffentlicht wurden, an. Google-Sprecher Kay Oberbeck lässt gegenüber der DPA verlauten:
Wir sind uns des Problems bewusst, haben es in den jüngsten Android-Versionen für Kalender und Kontakte bereits beheben können und sind dabei, es auch für Picasa zu lösen.
Unbeantwortet bleibt die wichtige (!) Frage, wie schnell die einzelnen Hardware-Anbieter entsprechende Updates für ihre Kunden nachreichen.
Die OS-Zersplitterung war bereits in der letzten Woche auf der Google Entwicklerkonferenz zum Thema erklärt worden. Zur ‘Problemlösung’ lädt der OS-Anbieter seine Partner an einen großen Tisch. LG, Sony Ericsson, Motorola, AT&T, Vodafone, Sprint, Samsung, HTC, T-Mobile und Verizon Wireless sollen einen 18-monatigen Support-Zyklus auf die Beine stellen.
Die Entwickler im Saal jubelten – viele empfinden die, wie Könings sagt, “ewigen” Wartezeiten auf aktuelle Betriebssystem-Versionen als quälend und kontraproduktiv – und als gefährlich.
Entsprechende Hysterie fehlt dem Thema allerdings noch. Das mag insbesondere daran liegen, dass noch kein prägnanter Name gefunden wurde – ‘Antennagate‘ und ‘Locationgate‘ sind bereits vergeben. Und auch eine Klicki-Bunti-Software zum Anzeigen der entwendeten Daten mit persönlichen Inhalten steht aus.
Da jedoch kein zeitnahes Software-Update für alle betroffenen Geräte zu erwarten ist, verdient dieses ‘Datenleck‘ weitere Aufmerksamkeit. Als ich Mitte April ‘die Panikmacher‘ anprangerte und um Verhältnismäßigkeit bat, ging es mir um ‘iSpy’-Beiträge wie vom WDR-Kollegen Jörg Schieb:
Bedenklich, mehr als bedenklich, hier muss Apple dringend nachbessern und erklären, wieso die Daten überhaupt erhoben und gespeichert werden. Denn wenn sie dem Benutzer nicht offiziell zur Verfügung gestellt werden, muss man das Schlimmste befürchten.
Auch zum Thema ‘Google Android’ erschien ein Beitrag von ihm:
Um es klar zu sagen: Grund zu Hysterie oder allzu großer Sorge gibt es aber in diesem Fall nicht. Aus mehreren Gründen. Erstens muss sich jemand schon ordentlich vorbereiten, um Daten aus Android-Handys zu mopsen. Gezielt jemanden zu beklauen ist noch schwieriger, denn dann muss man auch noch warten, bis die betreffende Person in den Raum kommt [...]
Alles im Bereich des Möglichen, keine Frage, aber schon mit viel Zeitaufwand verbunden. Last not least kommt der Datendieb aber “nur” an die Kontakte, die Termine und Fotos. Die Frage ist, wie wertvoll solche Informationen im Zweifel sind. Für einen Geheimagenten sicher nützlich – aber im echten Leben?
Gute Nachrichten zum ausklingenden Tag: Google kündigt im einem kurzen Statement an, die aufgedeckte Schwachstelle serverseitig ausbügeln zu können. Diese soll bis nächste Woche abgeschlossen sein.
Today we’re starting to roll out a fix which addresses a potential security flaw that could, under certain circumstances, allow a third party access to data available in calendar and contacts. This fix requires no action from users and will roll out globally over the next few days.
Mueste man wenn man ueber das Thema nachdenkt nicht auch vor nem apple store demonstrieren gehen und “wir wollen patches – keine point release updates” auf Schilder schreiben?
Ich bin mal sehr gespannt, ob Apple vom Zugucken lernt und langfristig was an der eigenen Sicherheitsstrategie aendert. Denn ganz ehrlich: Android hats jetzt halt mal erwischt. iOS koennte es das naechste mal genauso sein.
http://cbenden.myopenid.com/ Clemens Benden
Wenn Apple wirklich “so” sicher wäre, dann gäbe es keinen Jailbreak…
Aber gehört wohl dazu, daß man sich über die Probleme der anderen lustig macht und hämisch der Schadenfreude frönt, weil man selber doch auch das eine oder andere Problem hat…
Anonymous
Aber schade ist es auch, dass man nicht so ehrlich sein kann die Probleme der eigenen Plattform zuzugeben. Witzigerweise prangert ausgerechnet Alex das Fanboy-Gehabe von Herrn Schieb an. Dazu fällt mir spontan ein:
“Den Splitter, der im Auge deines Bruders ist, den siehst du;
aber den Balken, der in deinem Auge ist, den siehst du nicht.
Wenn du den Balken aus deinem Auge gezogen hast,
dann wirst du klar genug sehen;
um den Splitter aus dem Auge deines Bruders zu ziehen.”
beetFreeQ
Dass man als Android-User unter 2.3.4 darauf verzichten muss, sich mit offenen WLANs zu verbinden, damit einem die Daten nicht geklaut werden, ist aber übertrieben. Das Datenleck tritt nur dann in Aktion, wenn man in einem offenen WLAN seine Daten synchronisiert. Das lässt sich aber ganz simpel abschalten und das sollte man in einem offenen Netz sowieso machen, wenn man gesunden Menschenverstand besitzt. Das empfehlen auch die Wissenschaftler der Uni Ulm!
Anonymous
Wobei dazugesagt werden muss, dass auch WLANs mit einem PSK in dieser Hinsicht ebenso anfällig sind.
Nur weil das WLAN gesichert ist, ist der Datenverkehr innerhalb des Netzes nicht verschlüsselt.
Ansonst: full ACK.
http://twitter.com/SPeitsch Sebastian Peitsch
Hm. Jörg Schieb.
Willst Du Dir nicht vielleicht ein etwas härteres Ziel raussuchen?
Trotzdem guter Fund, vor allen Dingen weil Du nicht abgeschrieben hast und es einen Deutschland-Bezug hat. Als ich vorhin die Einschätzung von Schieb gelesen habe, hab ich mir auch gedacht “Hä? Was? Wie “nur” alle meine Kontaktdaten? Hast Du noch alle Latten auf dem Zaun, Schieb?”
Wieso sind Geodaten ganz ganz schlimm aber meine DIREKTEN Kontaktdaten sind “nur was für Spione”? Das ist doch total gaga.
Yupp
“Das Schlimmste befürchten” vs “Kein Grund zur Sorge”
Die Gegenüberstellung der Artikel vom WDR-Journalisten Jörg Schieb zeigt deutlich das Messen mit zweierlei Maß. Dabei ist die Android Lücke ja sogar noch schlimmer, da persönlichere Daten betroffen sind und ein Großteil der Geräte nicht gefixt werden wird. Ein Exploit ist natürlich höchst-theoretisch … aber das war bei Apples Locationgate auch der Fall. Eine bunte Visualisierung macht wohl wirklich den ganzen Unterschied.
Und: Das Leserforum zur Spon-Meldung von heute vormittag hat gerade mal zwei Beiträge! Daggegen hätte eine Apple-Meldung seitenlang polarisierte Flamewars ergeben (mit entsprechenden Klickraten).
Anonymous
Wieso schlimmer? Locationgate ist real, die Android-Lucke ist rein hypothetisch. Und wer in fremden WLANs surft, riskiert sowieso dass Daten abgegriffen werden, z. B. wenn E-Mails ohne SSL über die Leitung gehen.
dermattin
Was ist an Locationgate real(er)? Dass Daten, die das iPhone verwendet, auf dem iPhone gespeichert werden? Dass man als Fremder an diese Daten noch hypothetischerererer dran kommt?
Anonymous
Hypothetisch? Anschließen an einen Rechner genügt, wenn das iPhone nicht verschlüsselt ist.
Problematischer bei Locationgate war, dass Apple selbst die Daten abgegriffen hat und es keine Möglichkeit gab sich davor zu schützen.
Sebastian
Du verstehst also den Unterschied zwischen physischem Zugriff und WLAN-Abhören nicht.
Anonymous
Apple hat also physischen Zugriff auf mein iPhone? Du hast hier zwei von mir genannte Probleme in einen Topf geworfen und versuchst nun Dein Unverständnis bei mir abzuladen?
Anonymous
iPhone Classic und 3G stellen wieviel % der Apple-Smartphones? Apple versucht ja nicht einmal die sperrangelweit offenen Sicherheitslücken zu schließen. Die Geräte bekommen schlicht keinen Support mehr. Dabei geht es nicht nur um Kontakte, sondern schlicht um alle Daten auf dem Gerät, sowohl über WLAN als auch 3G (Stichwort JailbreakMe).
Schade dass auf einem IPHONE-Blog nur die Android-Lücken beleuchtet werden und diejenigen Fehler die uns Apple-Nutzer betreffen ausgespart werden.
Sebastian
Warum wirst Du nicht ein wenig ausführlicher was das Problem mit Jailbreakme ist und warum es vergleichbar ist mit dieser Android-Sicherheitlücke?
Anonymous
Ich sage nicht es sei vergleichbar, ich sage es gibt auf dem iPhone mindestens genauso schwere Lücken die nicht gefixt worden sind. Betroffen sind iPhone Classic und iPhone 3G die sich allein durch den Besuch einer Website hacken lassen (siehe eben jailbreakme.com).
hmm
Gut, 3G und Classic werden nicht mehr unterstütz und gewartet, aber nach welchem Zeitraum? Google will mit Android und einige großen Herstellern nun 18 Monate Support anbieten, und will dies auch bei den Hersteller-Versionen zeitnah umgesetzt sehen. Da dauert es teilweise ewig bis eine neue Android Version für ein Gerät verfügbar wird. Wird ein iOS-Gerät noch unterstützt hast du sofort Zugriff auf das Update…
Anonymous
Die Probleme von Android sind mir bekannt. iOS hat aber ebenfalls welche, eben die von mir genannten Beispiele. Die Sicherheitslücken sind dort sogar noch gravierender, werden aber trotzdem nicht von Apple gefixt, man will ja lieber neue Geräte verkaufen.
Man sollte nicht vergessen, dass bis zum 23.06.2010 das iPhone 3G noch ganz offiziell verkauft wurde, als Sparversion zum 3GS. So lange ist das also noch nicht her, wie Du hier suggerieren möchtest.
hmm
Das mag sein, dass es noch verkauft wurde und auch noch viel genutzt wird. Aber alle Versionen unter 4.3 hat das 3G noch erhalten, d.h. es wurde erst dieses Jahr aus dem Update-Zyklus genommen, als es auch nicht mehr verkauft wurde von offizieller Seite. Zu diesem Zeitpunkt war das 3G jedoch schon eine ganze Weile auf dem Markt, seit dem 11. Juli 2008. Meiner Meinung nach Zeit genug. Um bestimmte Lücken im System die es auf jedem System, mobil als auch desktop, gibt geht es hierbei ja nicht…
Anonymous
Stimmt, es geht darum dass iOS auf älteren iPhones die gleichen Probleme hat, wenn es um Sicherheitlücken geht. Nur dass hier nicht einmal mehr die Chance besteht dass sie jemals geschlossen werden.
http://www.iphoneblog.de iphoneblog
“Nur dass hier nicht einmal mehr die Chance besteht dass sie jemals geschlossen werden.”
Genau wie bei allen anderen technischen Geräten. c’est la vie!
Anonymous
Merkwürdig, mein PC bekommt unabhängig vom Kaufzeitpunkt Updates. Und Google-Smartphones haben scheinbar auch kein Verfallsdatum, es sei denn die Hardware oder der Netzbetreiber verhindern das Nachrüsten. Bei uns Apple-User wird künstlich ein Riegel vorgeschoben.
http://www.iphoneblog.de iphoneblog
Falsch. Für dein PC-Betriebssystem werden auch irgendwann die Updates eingestellt. Der hier (gewöhnlich) längere Zeitraum verhindert jedoch aktiv den technischen Fortschritt.
Anonymous
Nix falsch. Ich schrieb PC, nicht PC-Betriebssystem.
http://www.iphoneblog.de iphoneblog
Okay…dann sag’ an!
Anonymous
Ganz einfach, nach 2 Jahren gibt es nicht mal mehr elementare Sicherheitsupdates für iOS-Geräte. Ich erinnere mich noch sehr genau wie die Fanboy-Fraktion stets rumkrakelte bei Apple bekäme man auch noch nach Jahren Updates für das iPhone. Jetzt überstehen die Geräte kaum ihre 2 Jahre Apple Care, bevor sie dank offenen Lücken praxisuntauglich werden. Der Sicherheitsaspekt wurde bei Apple schon immer kleingeschrieben und nun leider auch auf dem iPhone. Sich bei derartigen Problemen der eigenen Plattform über andere lustig zu machen ist, mit Verlaub, kleingeistig.
http://www.iphoneblog.de iphoneblog
Nochmal: Sag’ dein Vergleichssystem an…dann können wir gerne über “Praxisuntauglichkeit” sprechen.
Anonymous
Willst etwa Du behaupten es wäre nicht praxistauglich nach 2 Jahren noch Sicherheitsupdates anzubieten? Die Beschränkung ist künstlicher Natur, weil Apple Neugeräte verkaufen möchte. Nach 2 Jahren möge der User doch bitte sein Altgerät entsorgen, lautet die Botschaft.
Und was interessieren mich Vergleichssysteme, wenn ich iOS-Nutzer bin? Ich will nicht vergleichen, ich will dass die Geräte die ich besitze, nutze und teuer bezahlt habe funktionieren. Und reklamiert nicht immer Apple den Ruf des Innovateurs/Revolutionärs für sich? Wo bleiben Apples Innovationen in Sachen Gerätesicherheit? iOS ist nicht sicherer als Android, das beweist der Jailbreak immer wieder aufs neue. Daher wäre es angebracht erst einmal vor der eigenen Tür zu kehren, bevor man sich über Konkurrenzsysteme lustig macht.
Wenn Dein Blick über den Tellerrand darin besteht unqualifiziert zu bashen, verzichte ich gern darauf. Ein Vergleich der Sicherheit von Android und iOS hätte ich begrüßt, aber der fehlt natürlich…. Da fragt man sich warum.
http://www.iphoneblog.de iphoneblog
Dein Zitat: “Ich schrieb PC, nicht PC-Betriebssystem.”
Hätte nur gerne geklärt, worüber du sprichst.
http://twitter.com/bockstein00 Bockstein Phil
Ich bedanke mich hier mal für die neutrale berichterstattung!!!
Also Danke!
Wer eine beliebige iPhone-App im iTunes App Store über diesen Link kauft, seinen Mac mit Programmen aus dem Mac App Store bestückt oder ein Produkt seiner Wahl bei Amazon bestellt, unterstützt das iPhoneBlog mit einem kleinen Prozentsatz des (unveränderten) Kaufpreises.
Flattr verteilt kleine Mikrozahlungen, mit denen Ihr persönlich diesem Blog kleine Aufmerksamkeiten zukommen lasst. Über diesen Button; jeden Monat neu. Vielen Dank dafür!
Pingback: 7 Gründe sein Android Smartphone regelmässig komplett zu reseten | flexiabler Titel