Sicherheitsexperten entdecken Leck in Android-Handys

Smartphones mit dem zunehmend beliebter werdenden Android-Betriebssystem von Google erweisen sich im täglichen Gebraucht als etwas zu mitteilsam, wie deutsche Sicherheitsexperten kürzlich bekanntgaben. Sie melden sich automatisch und ohne Zutun ihres Nutzers in freien WLAN-Netzen an, in denen sie bereits einmal angemeldet waren, sobald das Gerät in die Funkreichweite des entsprechenden WLAN-Routers kommt. Steht die Verbindung, so wird ebenso automatisch eine Synchronisierung mit Google-Diensten wie Mail, Calender, Contacts, oder Picasa gestartet, wobei Authentifizierungsdaten (authToken) zum Teil sogar unverschlüsselt über eine einfache http-Verbindung gesendet werden. Diese Authentifizierungsdaten lassen sich am WLAN-Router mitschneiden (z.B. per Sniffer-Software) und können dann im Einzelfall für bis zu 14 Tage dazu benutzt werden, mit der Identität des Nutzers in dessen Google-Konten zu stöbern.

Auch Apps anderer Anbieter könnten von dem Problem betroffen sein, da nicht nur Google-eigene Apps dieses Anmeldesystem verwenden. So z.B. die Kalendersynchronisation des beliebten Mailprogramms Thunderbird der Mozilla Foundation.

„Der Informationsklau funktioniert besonders gut, wenn der Name des Netzwerks einem bekannten Anbieter ähnelt, also etwa T-Online“, so die Medieninformatiker Bastian Könings, Jens Nickels und Florian Schaub. Dazu reicht es nach Ansicht von Königs, die gut dokumentierten Google-Schnittstellen für externe Entwickler zu benutzen.

Dass mobile Geräte und beliebte Apps sensible Daten unverschlüsselt in die Welt hinausblasen, wird in Expertenkreisen bereits seit einiger Zeit zunehmend kritisch diskutiert.

Kurzfristig raten Fachleute Android-Nutzern zu folgenden Selbsthilfemaßnahmen:
•    Zügig auf die aktuellste Version 2.3.4. von Android updaten, in der das Problem so nicht mehr besteht.
•    Die automatische Datensynchronisation in den Einstellungen deaktivieren.
•    Die Liste bereits konnektierter WLAN-Netze im Handy regelmäßig löschen (nur auf der Liste befindliche Netze werden automatisch konnektiert).
•    Offene WLAN-Netze möglichst meiden, wenn datensensible Dienste und Apps genutzt werden.

Zumindest der erste Punkt der Empfehlungen ist für zahlreiche Smartphone-Nutzer jedoch gar nicht so leicht umsetzbar. Zwar ist Android ein (weitgehend) offenes System. Jedoch haben viele Smartphone-Hersteller ihre Geräte mit individuellen Oberflächen und Zusatzprogrammierungen „gebrandet“, so dass sie Upgrades des zugrunde liegenden Android-Betriebssystems nur zögerlich, falls überhaupt ausrollen. So ist derzeit ein ganzer Zoo von unterschiedlichen Android-Versionen im Markt unterwegs.

Doch es sind nicht nur Android-Handys betroffen. Grundsätzlich funktioniert die Methode, in offenen WLANs Daten mitzuschneiden und zweckzuentfremden auch bei anderen Mobilgeräten wie etwa Laptops, Navis oder Tablets, sofern diese Daten unverschlüsselt in den Äther blasen.

Inzwischen plant Google kurzfristig ein außerplanmäßiges Sicherheitsupdate an alle Android-Geräte zu verteilen und dabei nicht den Weg über die einzelnen Handyhersteller und Distributoren zu gehen. Der Patch soll die Kommunikation zwischen Gerät, WLAN-Router und mobilen Diensten verschlüsselt über das https-Protokoll abwickeln. Das allein ist jedoch nur die halbe Lösung, solange solche Kommunikationen versteckt im Hintergrund und ohne Kenntnis und Zustimmung des Benutzers ablaufen.

Wenn Daten zum Problem werden

Die letzten zwei Wochen waren wieder sehr „gehaltreich“ für Leute, die sich mit Fragen der Informationssicherheit beschäftigen.

Zunächst entdeckten zwei Softwareentwickler, dass Apples Flaggschiffe iPad und iPhone vom Benutzer unbemerkt nahezu ständig Positionsdaten in einer lokalen Datenbank auf dem Gerät mitloggen und diese auch auf einen mit dem Gerät synchronisierten PC sowie über den Umweg von WLAN-Positionsabfragen auch auf Apple-Server hochladen. Und zwar auch dann, wenn der Benutzer entsprechende Funktionen in den Geräten deaktiviert hat. So entsteht eine Datenbank, welche zwar kein vollständiges Bewegungsprofil des Anwenders, jedoch die Koordinaten von WLAN-Routern und Mobilfunkzellen in seiner Nähe zusammen mit einem Zeitstempel enthält. Sie entwickelten daraufhin eine App namens iPhone Tracker, mit der sich diese Daten auslesen und auf einer Karte grafisch darstellen lassen.

Parallel kämpft Sony derzeit mit wiederholten Hackerangriffen und Datendiebstählen. Zunächst drangen Hacker in die Datenbanken des Playstation-Networks (PSN) und des Musik- und Filmedienstes Qriocity ein und konnten Datensätze von etwa 77 Millionen Nutzerkonten kopieren. Inhaltlich können diese Daten am Schwarzmarkt verkauft und später für gezieltes Spear-Phishing oder Kreditkartenbetrug verwendet werden. Einige Tage später wurde bekannt, dass auch 25 Millionen Nutzerdatensätze des kommerziellen Spiele-Netzwerks Sony Online Entertainment (SOE) abhanden kamen. Wohl bei demselben Raubzug. Schon vor Wochen hatte Sony aus der Szene Hinweise auf bestehende Sicherheitslücken erhalten. Der Konzern hatte diese jedoch ignoriert bzw. war sogar gerichtlich gegen einen Hacker und Homebrew-Programmierer vorgegangen, der es geschafft hatte, sicherheitskritische Teile seiner eigenen Playstation-3-Spielekonsole zu hacken und der dies öffentlich gemacht hatte. Statt den Mann einzustellen und zur weiteren Verbesserung der betreffenden Systemkomponenten einzusetzen, hatte Sony eine einstweilige Verfügung erwirkt, um ihm das Verbreiten seiner Erkenntnisse zu erschweren. Das haben andere Hackergruppen dem Konzern wohl nachhaltig verübelt.

Dann wurde bekannt, dass TomTom, ein Anbieter von Navigationssystemen, gespeicherte Verkehrsdaten der Nutzer an die niederländische Regierung verkauft hatte. So wertet Tomtoms Verkehrsinformationsdienst HD Traffic beispielsweise anonymisierte Bewegungsprofile von Navigationsgeräten mit Internetanbindung sowie von Smartphones mit Tomtom-App aus, um Staus möglichst früh zu erkennen und in die Navigation miteinzubeziehen. Dabei werden auch Daten wie Fahrgeschwindigkeitswerte übermittelt bzw. können durch Zeit/Ort-Differenzabgleich errechnet werden. Mit diesen Daten lassen sich Stellen im Straßennetz finden, wo besonders häufig gegen Geschwindigkeitsbegrenzungen verstoßen wird und wo es daher lukrativ sein kann, „Blitzer“ aufzustellen. Obwohl aus Tomtoms Sicht legal und in verallgemeinerter Form sogar Bestandteil der Nutzungsbedingungen, zeigt diese „Zweitverwertung“ von Nutzerdaten doch, dass Daten auch ganz ohne Zutun von Hackern in falsche Hände gelangen können um dann den Nutzern zu schaden. Kürzlich wurde zudem bekannt, dass Tomtom auch mit der australischen Regierung über solche „Datenzweitverwertungen“ verhandelt. Aus dem ersten Fehler wurde wohl nichts gelernt.

Vor kurzem musste Amazons Cloud-Service EC2 seinen Kunden gegenüber eingestehen, dass es nach einem mehrstündigen Systemausfall zu einem größeren, nicht mehr wiederherstellbaren Datenverlust gekommen ist. Der Dienst, der von Amazon mit dem Motto „Die Cloud, auf die Sie sich verlassen können“ beworben wird, hatte beim Wiederanlaufen mit nicht mehr behebbaren Inkonsistenzen in seinen Datensicherungen zu kämpfen. Wohl dem, der Alternativen in der Hinterhand hatte.

Manche Unternehmen sparen bei der IT-Sicherheit und werden daher Opfer von Hackerattacken, da es leicht ist, bei ihnen Daten abzugreifen. Andere hingegen praktizieren quasi-militärische Hochsicherheitsstandards – und werden ebenfalls Opfer von Hackern, die sich technologisch herausgefordert fühlen. Wieder andere versuchen wie Sony gegen kleinere Ärgernisse aus der Hackerszene gerichtlich vorzugehen. Mit der Konsequenz, dass sich daraus sehr große und rechtlich nicht mehr in den Griff zu bekommende Probleme entwickeln können. Und auch dort wo es aus der Perspektive der Informationssicherheit zu keinen nennenswerten Vorfällen kam, machen sich Probleme mit der Softwarequalität bemerkbar. So gab z.B. Apple bekannt, dass das Geodatenlogging im iPhone letztlich ein Programmierfehler gewesen sein soll. Auch wenn Apple bereits 2009 für etwas von der Idee her sehr Ähnliches ein US-Patent beantragt hat. Patentierte Fehler?

Was ist nun die gemeinsame Konsequenz all dieser Dinge?

Unternehmen nutzen (zu) viele Daten und betreiben (zu) datenintensive Geschäftsmodelle. Wer aber viele Daten nutzt, muss auch umfangreiche, teure und wegen ihrer Komplexität fehleranfällige Maßnahmen zu ihrer Absicherung mit einplanen. Und wird oftmals gleich vom Gesetzgeber zu entsprechender Vorsorge verpflichtet.

Daten haben in Unternehmen also nicht nur den Charakter eines wertvollen Besitzes oder eines notwendigen Produktionsfaktors. Sie werden auch zum Risiko und zum Kostenfaktor. Daher sollten sie nach Möglichkeit sehr sparsam verwendet werden. Geschäftsprozesse sollten den Prinzipien der Datensparsamkeit und Datenvermeidung Rechnung tragen, wie es das Bundesdatenschutzgesetz im §3a für personenbezogene Daten ohnehin fordert.

Es ist ein Stück weit ähnlich wie mit produktionsbezogenem Problemmüll. Er ist oft in hohem Maße giftig oder anderweitig schädlich, so dass er auf spezielle Art und Weise gesichert und entsorgt werden muss. Mehr Müll bedeutet dann höhere Kosten. Vermeidet man Müll, indem man im Produktionsprozess sparsamer und effizienter mit Rohstoffen umgeht, senkt das unmittelbar die Entsorgungskosten sowie die Prozesskosten für die Behandlung und Lagerung der giftigen oder strahlenden Abfälle.

Ähnlich verhält es sich mit den Datenvolumina, der Kritikalität von Daten sowie den Kosten zu ihrer informationstechnischen Absicherung. Auch hier bedeutet ein Weniger an Daten auch ein Weniger an Kosten. Gleichzeitig gehen Unternehmen, die schlampig mit Daten umgehen oder diese sehr einseitig zu ihren Gunsten nutzen, ähnliche Risiken für ihr Ansehen in der Öffentlichkeit ein, wie Firmen, die hochgiftige Abfälle einfach in den Fluss kippen oder auf dem Meer verklappen lassen.