Android: WLAN-Passwörter landen unverschlüsselt auf Google-Servern (Update mit Google-Statement)

17. Juli 2013 um 09:08
  • security
  • android
image

Vielen Usern ist nicht bewusst, dass eine Android-Backupfunktion existiert und Daten an Google schickt.

Vielen Usern ist nicht bewusst, dass eine Android-Backupfunktion existiert und Daten an Google schickt.
Wenn man ein Android-Gerät benützt, kann man persönliche Einstellungen wie Lesezeichen, WLAN- und andere Passwörter von Google online sichern lassen. Das ist praktisch, denn wenn man auf ein neues Gerät umsteigt, kann man diese Einstellungen wiederherstellen und muss nichts neu eintippen. Andererseits muss Google diese Daten dazu natürlich auf eigenen Servern spechern.
Dies dürfte vielen Usern nicht bewusst sein, da das Backup auf den meisten Geräten per Default aktiviert ist. Und zudem speichert Google, wie 'Heise' berichtet die WLAN-Passwörter sogar ganz unverschlüsselt auf seinen Servern.
Update, 19.7.2013: Google Schweiz empfand den vorherigen Abschnitt als fehlerhaft. Ein Google-Sprecher erklärt dazu ~~"Die optionale Funktion "Meine Daten sichern" erleichtert den Wechsel zu einem neuen Android-Gerät, indem man mit seinem Google-Konto und Passwort einige der vorherigen Einstellungen wiederherstellen kann. Dadurch wird der Aufwand, ein neues Gerät von Grund auf neu einzurichten, vermieden. Nutzer können diese Funktion zu jedem Zeitpunkt deaktivieren, was dazu führt, dass Daten gelöscht werden. Solche Daten werden in verschlüsselter Form übertragen und sind nur dann zugänglich, wenn der Benutzer eine
authentifizierte Verbindung zu Google hat. Die Daten sind in den Google-Rechenzentren gesichert, die mit starken Schutzvorrichtungen gegen digitale und physische Angriffe ausgestattet sind. "~~
Anmerkung der Redaktion: In unserem Artikel ging es nicht um den Transport sondern um die letztendliche Speicherung der Passwörter. Google dementiert nicht, dass diese auf seinen Servern unverschlüsselt gespeichert werden.
Google störte sich auch an unserer Bemerkung, dass diese Passwörter somit auch ungehindert von US-Geheimdiensten abgegriffen werden könnten. Google-Vertreter haben in den letzten Tagen und Wochen nach dem Beginn der PRISM-Affäre heftig dementiert, dass US-Behörden in irgendeiner Weise direkten Zugriff auf seine Daten habe. "Eine allfällige Weitergabe von Daten erfolgt ausschliesslich in Form von Einzelverfahren, die erst nach intensiver Prüfung durch eine/n unserer JuristInnen erfüllt werden wenn sie den gesetzlichen Vorgaben entsprechen", so Google. (Update Ende)
Etwas mulmig wird es einem auch beim Gedanken an die Affäre aus dem Jahr 2010, als bekannt wurde, Google bei Street-View-Aufnahmefahrten auch "versehentlich" Daten dass in privaten WLAN-Netzwerken gestöbert und Daten daraus gespeichert hatte.
Normalerweise ist es bei solchen und anderen Internet-Services üblich, dass zumindest Passwörter so verschlüsselt gespeichert werden, dass sie theoretisch auch der Serverbetreiber nicht entschlüsseln kann. Allerdings werden dabei auch oft relativ unsichere Algorithmen benützt, die es Hackern - und natürlich auch Geheimdiensten oder Serverbetreibern - heuzutage erlauben, ziemlich einfach und in kurzer Zeit viele Passwörter zu entschlüsseln, wenn sie an eine Liste mit verschlüsselten Passwörtern herankommen.
Die System-Backupfunktion für Android kann übrigens unter "Einstellungen" im Menüpunkt "Sichern und Zurücksetzen" deaktiviert oder aktiviert werden. Wenn man die Funktion deaktiviert, verspricht das Betriebssystem, dass auch sämtliche vorher gespeicherten Daten und alle Kopien davon von den Google-Servern gelöscht werden. (hjm)

Loading

Mehr erfahren

Mehr zum Thema

image

Weiterer Supply-Chain-Angriff auf Open-Source-Bibliothek

Cyberkriminelle wollten sich Zugang zu einem Open-Source-Projekt erschleichen. Das zeigt die Anfälligkeit von solchen Lösungen.

publiziert am 16.4.2024
image

Zero-Day-Lücke bedroht PAN-OS-Software von Palo Alto

Während drei Wochen konnten Hacker über eine kritische Schwachstelle in den betroffenen Systemen Remotecode ausführen. Der Hersteller empfiehlt dringende Massnahmen.

publiziert am 15.4.2024
image

Wo sich der Grossteil der Cybercrime-Aktivitäten abspielt

Eine Forschungsarbeit der Universität Oxford zeigt die globalen Cybercrime-Hotspots. Dies soll dem privaten wie öffentlichen Sektor helfen, Ressourcen gezielt einzusetzen.

publiziert am 12.4.2024
image

Podcast: Das Gesundheitswesen und die Cybersicherheit

Das Bundesamt für Gesundheit ist auf der Suche nach einem Dienstleister, der Unterstützung im Bereich Cybersicherheit bietet. In einer Ausschreibung haben wir mehrere Mängel festgestellt. In der aktuellen Podcast-Episode reden wir unter anderem darüber.

publiziert am 12.4.2024