Sicherheitslücke: Student setzt Google in Bewegung
Jens Nickels, der Medieninformatik an der Universität Ulm studiert, hat eine schwere Sicherheitslücke des Android-Betriebssystems aufgedeckt: Melden sich Nutzer bei Googles Kalenderdienst, Kontakteverwaltung oder dem Bilderdienst Picasa an, werden die Authentifizerungsdaten unverschlüsselt übertragen. Erst auf öffentlichen Druck reagierte Google und will nun zügig nachbessern.
24.05.2011
Von Christiane Schulzki-Haddouti

Nickels untersuchte im Rahmen seiner Bachelorarbeit systematisch die Datenschutz- und Sicherheitseinstellungen bei Googles Handybetriebssystem Android. Er erzählt evangelisch.de: "Bei meiner Untersuchung für mein zweites Kapitel ist mir die Sicherheitslücke aufgefallen." Er recherchierte, ob die Lücke auch bereits von anderen entdeckt worden war und stellte dabei fest, dass "von allen anderen Wissenschaftlern, deren Forschungen wir entdeckten, weder die genaue Lücke noch das Ausmaß erkannt wurde".

Ein Forscher in den USA hatte in einem Seminar gemeinsam mit seinen Studenten zwar erste Hinweise auf Sicherheitsprobleme gefunden. Nickels entdeckte aber, dass es sich um ein grundsätzliches Problem handelt, das alle mobilen Google-Dienste betrifft.

In ungeschützten Drahtlosnetzwerken können Angreifer den Anmeldungsschlüssel für die Dienste abfangen. Dieser Schlüssel, auch Token genannt, wird von Google erst nach zwei Wochen neu generiert und kann so lange missbraucht werden. Möglich ist dies, weil anders als für Googles E-Mail-Dienst und die Text- und Tabellenanwendung keine SSL-verschlüsselte Verbindung aufgebaut wird.

Google reagierte zu langsam

Bereits Ende April wies Nickels gemeinsam mit seinen Betreuern Google auf das Problem hin. Die Reaktion des Softwarekonzern verlief für seinen Geschmack jedoch zu langsam: Der amerikanische IT-Konzern wollte zunächst nur in einem neuen Softwareupdate das Problem beheben. Bis dieses bei den Nutzern angekommen wäre, hätte das aber Monate dauern können.

Nickels entschied sich zusammen mit seinen beiden Betreuern daher für den Gang an die Öffentlichkeit, um den Druck auf Google zu erhöhen: Auf der Universitätswebsite berichteten sie ausführlich über ihren Fund – und damit kamen die Dinge dann auch schneller ins Rollen.

Google kündigte an, die Schwachstelle über eine einfache und zentral vorgenommene Konfigurationsänderung zu schließen - und setzte sie kurz darauf um. Bastian Könings, der die Bachelor-Arbeit von Jens Nickels sieht darin eine klare Kursänderung des Konzerns, da zuvor ja noch von einem umständlicheren Update die Rede war.

Gegenüber evangelisch.de erklärt er die gefundene Lösung: "Google richtet für die Kalender- und Kontakteanwendung eine SSL-Verschlüsselung über eine Änderung in der Konfiguration ein, von der die Nutzer nichts bemerken werden." Für Picasa allerdings ist die Einrichtung einer SSL-gesicherten Verbindung zwischen Gerät und Server nicht möglich, die ein Abhören des Tokens unmöglich machen würde. Hier bleibt das Problem so lange bestehen, bis für das Betriebssystem ein Update zur Verfügung steht.

Hersteller sollen Hinweise ernster nehmen

Jens Nickels geht davon aus, dass innerhalb weniger Tage oder Wochen alle Nutzer geschützt sind. Ein wenig ist er jedoch unzufrieden: “Es hätte erst gar nicht zu unser Veröffentlichung kommen müssen, da wir ja zuvor versucht haben, Google über das Problem zu informieren.“ Er wünscht sich daher, dass "Leuten, die solche Sicherheitslücken entdecken, von den Herstellern mehr Aufmerksamkeit entgegen bekommen, damit es in Zukunft nicht mehr nötig ist, die Öffentlichkeit als Druckmittel einzusetzen und sie so auch zeitweise einer gewissen Gefahr auszusetzen." Denn gerade derart kritische Sicherheitslücken müssten "schnellstmöglich" geschlossen werden, da man nie wissen könne, wem sie noch bekannt sind bzw. wer sie eventuell schon ausnutzt.

Das Problem bestand schon länger. Nachgewiesen haben die Ulmer Forscher es ab Android-Version 2.1. Bastian Könings vermutet, dass es sogar von Anfang an bestand. Bachelor-Student Nickels meint: "Diese Sicherheitslücke ist eigentlich recht einfach zu entdecken und wäre vor allem sehr leicht zu verhindern gewesen." Eine Lücke dieser Art hätte seiner Ansicht nach in einer internen Sicherheitsanalyse auffallen müssen.

Für seinen Betreuer Bastian Könings ist es ein wirkliches Problem, dass Sicherheitsmängel über eine so lange Zeit nicht aufgedeckt werden. Theoretisch könnten solche Probleme schnell erkannt werden, da jeder den Quelltext des Handy-Betriebssystems von Google prüfen kann, da es sich um Open-Source-Software handelt. Allerdings könne es dann Monate dauern, bis ein Sicherheitsupdate beim Nutzer ankommt. Die Handy-Hersteller müssen nämlich das von Google gelieferte Update erst noch in ihre Versionen des Betriebssystems einbauen. Das soll sich nun laut Google ebenfalls künftig verbessern. Für die Forscher ist das wohl einer der größten Erfolge ihrer Entdeckung.

Für diejenigen, die den Eindruck haben, dass sie bereits angegriffen wurden, hat Bastian Könings einen Tipp parat: "Einfach das Google-Passwort ändern, dann werden sich auch die Tokens ändern."


Christiane Schulzki-Haddouti ist freie Journalistin und lebt in Bonn.