Artikel empfehlen

WLAN-Sicherheit: Google speichert Passwörter unverschlüsselt auf seinen Servern


17.07.2013, 16:07 Uhr

WLAN-PW-Abfrage

Praktische Sache, diese automatische Sicherung von Einstellungen, App-Daten und WLAN-Passwörtern im eigenen Google Account. Schade nur, dass Google die hochsensiblen Daten unverschlüsselt auf seine Server und zurück auf Smartphones und Tablets überträgt, wie jetzt aus einer Fehlermeldung in Googles offiziellem Android-Entwicklerforum hervorgeht.

Hat man sich einmal für die übrigens standardmäßig aktivierte, automatische Datensicherung und -wiederherstellung entschieden, die Android jedem Nutzer bei der ersten Inbetriebnahme eines neuen Gerätes oder ggf. nach der Installation eines Custom ROMs anbietet, erspart man sich eine Menge Arbeit. Insbesondere um die WLAN-Passwörter, die sich im Laufe der Zeit so ansammeln, muss man sich nicht weiter kümmern. Android merkt sich grundsätzlich die Passwörter jedes drahtlosen Netzwerkes, in das das jeweilige Gerät jemals eingebucht war und sichert diese hochsensiblen Daten automatisch auf den Google-Servern – und zwar unverschlüsselt. Die ungesicherten Informationen werden dann auf Wunsch auf neue oder neu einzurichtende Android-Geräte mit demselben benutzten Google-Account übertragen. Man muss kein Hellseher sein, um davon auszugehen, dass ein Großteil der Android-Nutzer von dieser an sich praktischen Möglichkeit Gebrauch macht und so unwissentlich private und geschäftlich genutzte WLAN-Daten Google gegenüber offenlegt.

Eingereicht hat die Beschwerde Micah Lee, der als Chefentwickler bei der nichtstaatlichen Organisation (NGO) Electronic Frontier Foundation (EFF) arbeitet. Er und andere Experten, die sich seit einigen Tagen mit der Sicherheitslücke befassen, warnen vor ernsten Risiken. Im Hinblick auf die jüngst bekannt gewordene Tatsache, dass US-amerikanische Geheimdienste wie die NSA, aber auch vergleichbare Dienste in Europa über das Internet transportierte Daten massenhaft abgreifen und speichern, müsse seiner Meinung nach davon ausgegangen werden, dass die Passwörter schon in die Hände der Geheimdienste geraten sein könnten.

Das könnte auch für Googles Datenbank mit weltweit verfügbaren WLAN-Netzwerken gelten, wo die Passwörter im schlimmsten Fall sogar konkreten Drahtlosnetzwerken zugeordnet werden könnten. Es ist ein zumindest denkbares Szenario, wenn die Experten vor diesem Hintergrund befürchten, dass die NSA und befreundete Dienste schon jetzt alle Mittel in der Hand hätten, um in eine Vielzahl von Netzwerken eindringen zu können, wenn sie es nur für erforderlich hielten.

CERN Server

Und was sagt Google zu dem Schlamassel? Bisher gar nichts. Die Eingabe von Micah Lee wurde zwar von Google-Mitarbeitern gelesen und mit dem denkwürdigen Vermerk versehen, man solle das lieber in einem anderen Forum posten, ansonsten aber hüllt sich der Internetgigant seit Tagen in Schweigen. Wahrscheinlich wird gerade im Hintergrund an einer Erklärung gefeilt, warum das alles nun doch gar nicht so schlimm sei wie befürchtet. Vielleicht wird auch in an einer Verschlüsselungstechnik gearbeitet, die dann allerdings viel zu spät käme. Oder den Nutzern wird künftig die bisher fehlende Möglichkeit eingeräumt, WLAN-Passwörter von Googles Servern zu löschen oder vorher festzulegen, was im Rahmen der Datensicherung übertragen werden soll und was nicht.

Wenn sich das alles so bestätigt, wird Apple wohl sich zu Recht ins Fäustchen lachen und Google verdientermaßen mit Hohn und Spott überziehen. Bei iOS-Geräten wird Angaben aus Cupertino zufolge nämlich die Übertragung von WLAN-Passwörtern mit Hilfe von gerätegebundenen und Apple selber nicht bekannten Schlüsseln gesichert. Dass Google offenbar bisher nicht in der Lage war, die sensiblen Daten seiner Nutzer auf eine ähnliche Weise zu schützen, stößt sicher nicht nur bei uns auf Unverständnis, zumal Google selber davor warnt, WLAN-Passwörter an Fremde weiterzugeben. Andererseits sind es ja oft gerade die offensichtlichsten Dinge, die übersehen werden.

Man kann also nur hoffen, dass Google sich möglichst bald erklärt und/oder eine Lösung für das Problem präsentiert – etwa, indem man die Datensicherungen zukünftig mit einer selbst zu wählenden Passphrase nutzerseitig chiffriert. Die einzige Maßnahme, die man bis dahin ergreifen kann, ist in den Android-Einstellungen unter „Sichern und Zurücksetzen“ die Datensicherung zu deaktivieren und danach sämtliche WLAN-Passwörter neu zu vergeben.

Quelle: Google Code [via Spiegel Online]
Bild „Serverpark“: Florian Hirzinger/Wikipedia (cc)

Bewerte diesen Artikel
1 Star2 Stars3 Stars4 Stars5 Stars
Ø 4.17 von 5 - 12 Bewertung(en)
Loading ...
Folge androidnext auf Facebook

Verwandte Artikel