Android: WLAN-Passwörter landen unverschlüsselt auf Google-Servern (Update mit Google-Statement)

17. Juli 2013, 09:08
  • security
  • android
image

Vielen Usern ist nicht bewusst, dass eine Android-Backupfunktion existiert und Daten an Google schickt.

Vielen Usern ist nicht bewusst, dass eine Android-Backupfunktion existiert und Daten an Google schickt.
Wenn man ein Android-Gerät benützt, kann man persönliche Einstellungen wie Lesezeichen, WLAN- und andere Passwörter von Google online sichern lassen. Das ist praktisch, denn wenn man auf ein neues Gerät umsteigt, kann man diese Einstellungen wiederherstellen und muss nichts neu eintippen. Andererseits muss Google diese Daten dazu natürlich auf eigenen Servern spechern.
Dies dürfte vielen Usern nicht bewusst sein, da das Backup auf den meisten Geräten per Default aktiviert ist. Und zudem speichert Google, wie 'Heise' berichtet die WLAN-Passwörter sogar ganz unverschlüsselt auf seinen Servern.
Update, 19.7.2013: Google Schweiz empfand den vorherigen Abschnitt als fehlerhaft. Ein Google-Sprecher erklärt dazu ~~"Die optionale Funktion "Meine Daten sichern" erleichtert den Wechsel zu einem neuen Android-Gerät, indem man mit seinem Google-Konto und Passwort einige der vorherigen Einstellungen wiederherstellen kann. Dadurch wird der Aufwand, ein neues Gerät von Grund auf neu einzurichten, vermieden. Nutzer können diese Funktion zu jedem Zeitpunkt deaktivieren, was dazu führt, dass Daten gelöscht werden. Solche Daten werden in verschlüsselter Form übertragen und sind nur dann zugänglich, wenn der Benutzer eine
authentifizierte Verbindung zu Google hat. Die Daten sind in den Google-Rechenzentren gesichert, die mit starken Schutzvorrichtungen gegen digitale und physische Angriffe ausgestattet sind. "~~
Anmerkung der Redaktion: In unserem Artikel ging es nicht um den Transport sondern um die letztendliche Speicherung der Passwörter. Google dementiert nicht, dass diese auf seinen Servern unverschlüsselt gespeichert werden.
Google störte sich auch an unserer Bemerkung, dass diese Passwörter somit auch ungehindert von US-Geheimdiensten abgegriffen werden könnten. Google-Vertreter haben in den letzten Tagen und Wochen nach dem Beginn der PRISM-Affäre heftig dementiert, dass US-Behörden in irgendeiner Weise direkten Zugriff auf seine Daten habe. "Eine allfällige Weitergabe von Daten erfolgt ausschliesslich in Form von Einzelverfahren, die erst nach intensiver Prüfung durch eine/n unserer JuristInnen erfüllt werden wenn sie den gesetzlichen Vorgaben entsprechen", so Google. (Update Ende)
Etwas mulmig wird es einem auch beim Gedanken an die Affäre aus dem Jahr 2010, als bekannt wurde, Google bei Street-View-Aufnahmefahrten auch "versehentlich" Daten dass in privaten WLAN-Netzwerken gestöbert und Daten daraus gespeichert hatte.
Normalerweise ist es bei solchen und anderen Internet-Services üblich, dass zumindest Passwörter so verschlüsselt gespeichert werden, dass sie theoretisch auch der Serverbetreiber nicht entschlüsseln kann. Allerdings werden dabei auch oft relativ unsichere Algorithmen benützt, die es Hackern - und natürlich auch Geheimdiensten oder Serverbetreibern - heuzutage erlauben, ziemlich einfach und in kurzer Zeit viele Passwörter zu entschlüsseln, wenn sie an eine Liste mit verschlüsselten Passwörtern herankommen.
Die System-Backupfunktion für Android kann übrigens unter "Einstellungen" im Menüpunkt "Sichern und Zurücksetzen" deaktiviert oder aktiviert werden. Wenn man die Funktion deaktiviert, verspricht das Betriebssystem, dass auch sämtliche vorher gespeicherten Daten und alle Kopien davon von den Google-Servern gelöscht werden. (hjm)

Loading

Mehr zum Thema

image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023
image

Zurich investiert erneut in kanadische Cyberversicherung

Boxx Insurance hat unter der Leitung von Zurich in einer Serie-B-Finanzierung 14,4 Millionen US-Dollar gesammelt.

publiziert am 31.1.2023