16.05.2011 16:20
Android-Apps senden Authentifizierungstoken unverschlüsselt
Angreifer können eine Schwachstelle in der Datenübertragung von Android ausnutzen, um unbefugt Inhalte von Google Calendar, Picasa-Gallerien und Google Contact anderer Anwender zu manipulieren. Ursache des Problems ist, dass einige Anwendungen ein bei der Anmeldung am Google-Server erhaltenes Authentifizierungs-Token (AutheToken) später im Klartext senden. In unverschlüsselten WLANs oder solchen, bei denen alle Anwender den gleichen Schlüssel benutzen, kann ein Angreifer das Token mit Wireshark mitlesen und für eigene Zwecke verwenden, wie Forscher der Uni Ulm berichten.
Während des API-Zugriffs auf Picasa wird das Authentifizierungstoken übertragen - bei ungeschützter Übertragung im WLAN kann es jeder mitlesen und verwenden.
Zwar können Neugierige in offenen WLANs die übertragenen Daten von Apps schon länger mitlesen, mit dem Token ist jedoch Zugriff über die Google-API im Kontext des Anwenders möglich. Doch das Problem ist nicht nur auf Google Apps auf Smartphones beschränkt, sondern betrifft alle Android- sowie Desktop-Anwendungen, die das ClientLogin-Protokoll über HTTP statt HTTPS verwenden. Nach Angaben der Forscher gilt dies etwa auch für Thunderbird-Plug-ins auf dem PC zum Zugriff auf den Google Calendar, wenn diese nicht richtig konfiguriert sind.
In Android 2.3.4 und 3 hat Google die Synchronisierungzugriffe für den Kalender und die Kontakte auf HTTPS umgestellt, für die ab 2.3.3 verfügbare Picasa-App jedoch noch nicht. Das Android-Team und der Entwickler der App sollen jedoch daran bereits arbeiten. Den anderen Herstellern von Apps empfehlen die Ulmener Forscher, für das ClientLogin-Protokoll durchgehend HTTPS zu verwenden oder auf das sicherere OAuth zu wechseln.
Zwar lasst sich das Sicherheitsproblem größtenteils durch ein Update auf eine neuere Android-Version lösen. Für viele Geräte steht ein Upgrade jedoch noch nicht bereit. Die verwundbaren Version 2.1 und 2.2 sind schätzungsweise auf 90 Prozent der Geräte installiert. Anwender können zum Schutz die "Automatische Synchronisierung" abschalten, um einen ungewollten Datenabgleich und die Übertragung des Tokens beim Verbinden mit offenen Funknetzen zu verhindern.
(dab)
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
