Das Problem ist folgendes: In unverschlüsselten WLAN-Netzen - etwa in Cafés oder am Flughafen - werden Daten unverschlüsselt übertragen. Das heißt, jeder in diesem WLAN kann sie abfangen und lesen: Passwörter, E-Mails, alles. Um das zu verhindern, sollte jede einzelne Anwendung auf einem Computer oder einem Telefon zu seinem Server selber eine verschlüsselte Verbindung aufbauen: Etwa das E-Mail-Programm zum E-Mail-Server. Dann ist die Kommunikation auch in offenen, unverschlüsselten WLAN-Netzen sicher. Das Problem: Auf nahezu allen Mobiltelefonen mit dem Google Betriebssystem Android übertragen drei wichtige Anwendungen ihre Daten unverschlüsselt. Alles, was das Kalender-Programm, das Kontakt-Programm und das Fotoalbum Picasa übertragen, kann in offenen WLANs jeder mitlesen. Das ist aber noch nicht alles: Bei dieser Kommunikation zwischen Handy und Google-Server werden digitale Schlüssel übertragen. Wer diese Schlüssel abfängt, kann sich rund zwei Wochen lang, mit einem beliebigen Gerät von irgendwo in den Google-Kalender und die Kontakte einloggen und dort machen, was er will, sagt Bastian Könings von der Universität Ulm:
"Das heißt, der Angreifer kann diesen Schlüssel, diesen Token, einfach benutzen, um selber Anfragen an die Google-Dienste zu stellen, kann also sämtliche Kontakte, Kalender-Daten und Bilder abrufen oder eben auch manipulieren."
Das Ganze wird noch etwas hässlicher: Denn vieles läuft bei den Android-Telefonen automatisch ab. Sobald das Telefon ein offenes WLAN sieht, loggt es sich dort mitunter von alleine ein und beginnt dann – auch automatisch – den Kalender und die Kontakte auf dem Telefon mit dem Google-Server abzugleichen. Dabei fliegt dieser digitale Schlüssel durch die Luft und kann problemlos gestohlen werden. Angreifer können also ein offenes WLAN aufsetzen und mit einem Standard-Namen offener WLANS versehen wie "starbucks". Viele Android-Telefone werden sich dort automatisch einloggen, Kalender und Kontakte synchronisieren und dabei ihren Schlüssel preisgeben. Ein Google-Sprecher sagte, die neuste Version des Android Betriebssystems mit der Nummer 2.3.4. habe diese Lücken geschlossen. Das Problem: Besitzer eines Android-Telefons müssen dieses Update installieren - und das ist nicht so einfach. Nur wer ein Nexus-Modell hat bekommt das Update direkt von Google und das wahrscheinlich sehr rasch. Besitzer von Telefonen anderer Hersteller, etwa HTC, LG oder Samsung müssen darauf warten, dass die Hersteller die Google-Software an ihre Geräte anpassen. Dann liefern die Hersteller die neue Version an die Mobilfunkprovider, die dann ebenfalls noch mal drauf schauen und dann hoffentlich an ihre Kunden ausliefern – das hat in der Vergangenheit mitunter Monate gedauert. Vodafone hat es nicht geschafft, heute Morgen zu erklären, wie sie ihre Kunden unterstützen werden. Dirk Wende von der Telekom sagt, die Telekom hätte von einigen Herstellern schon ein Update bekommen, das "möglichst schnell" an die Kunden ausgeliefert werde:
"Das Update wird automatisch angezeigt. In dem Moment, wo es vorliegt, erhalten sie eine Nachricht: Es liegt ein Update für sie vor. Dann können Sie das Update auf ihrem Gerät installieren."
Bei einigen Geräten wird das Update über die Luft, also über das Mobilfunknetz oder das WLAN eingespielt. Andere Geräte muss man erst an seinen Computer anschließen, damit diese Update-Benachrichtigung angezeigt wird. Besitzer älterer Geräte können die neue Software jedoch wahrscheinlich gar nicht einspielen. Was also tun, bis das Update kommt? Der Ulmer Sicherheitsforscher Bastian Könings rät:
"Dann sollte man diese Dienste nicht nutzen. Man sollte die automatische Synchronisierung abschalten, das kann man im Einstellungsmenü von Android machen. Dann werden die Daten im Hintergrund nicht mehr synchronisiert. Man sollte dann aber auch darauf achten, dass man Kalender und Kontakte in offenen WLANs nicht öffnet."
Wenn man das Android-Telefon in einem offenen WLAN genutzt hat, sollte man dem Telefon sagen, dass es den Namen dieses Netzes wieder vergessen soll. Sonst verbindet es sich automatisch mit jedem offenen WLAN, das diesen Namen trägt. Zum Vergessen klickt man in die Liste der WLAN-Netze und klick auf "vergessen". Wer unsicher ist, dem rät Forscher Könings:
"Im Grunde sollte man sein Passwort sowieso öfter ändern. Aber wer jetzt unsicher ist, ob er schon Opfer einer solchen Attacke geworden ist, sollte sein Google-Passwort ändern."
Wer jetzt also sein Google-Passwort ändert, die oben genannten Tipps beherzigt und nur in verschlüsselten WLANs unterwegs ist, kann beruhigt auf das Update warten.
"Das heißt, der Angreifer kann diesen Schlüssel, diesen Token, einfach benutzen, um selber Anfragen an die Google-Dienste zu stellen, kann also sämtliche Kontakte, Kalender-Daten und Bilder abrufen oder eben auch manipulieren."
Das Ganze wird noch etwas hässlicher: Denn vieles läuft bei den Android-Telefonen automatisch ab. Sobald das Telefon ein offenes WLAN sieht, loggt es sich dort mitunter von alleine ein und beginnt dann – auch automatisch – den Kalender und die Kontakte auf dem Telefon mit dem Google-Server abzugleichen. Dabei fliegt dieser digitale Schlüssel durch die Luft und kann problemlos gestohlen werden. Angreifer können also ein offenes WLAN aufsetzen und mit einem Standard-Namen offener WLANS versehen wie "starbucks". Viele Android-Telefone werden sich dort automatisch einloggen, Kalender und Kontakte synchronisieren und dabei ihren Schlüssel preisgeben. Ein Google-Sprecher sagte, die neuste Version des Android Betriebssystems mit der Nummer 2.3.4. habe diese Lücken geschlossen. Das Problem: Besitzer eines Android-Telefons müssen dieses Update installieren - und das ist nicht so einfach. Nur wer ein Nexus-Modell hat bekommt das Update direkt von Google und das wahrscheinlich sehr rasch. Besitzer von Telefonen anderer Hersteller, etwa HTC, LG oder Samsung müssen darauf warten, dass die Hersteller die Google-Software an ihre Geräte anpassen. Dann liefern die Hersteller die neue Version an die Mobilfunkprovider, die dann ebenfalls noch mal drauf schauen und dann hoffentlich an ihre Kunden ausliefern – das hat in der Vergangenheit mitunter Monate gedauert. Vodafone hat es nicht geschafft, heute Morgen zu erklären, wie sie ihre Kunden unterstützen werden. Dirk Wende von der Telekom sagt, die Telekom hätte von einigen Herstellern schon ein Update bekommen, das "möglichst schnell" an die Kunden ausgeliefert werde:
"Das Update wird automatisch angezeigt. In dem Moment, wo es vorliegt, erhalten sie eine Nachricht: Es liegt ein Update für sie vor. Dann können Sie das Update auf ihrem Gerät installieren."
Bei einigen Geräten wird das Update über die Luft, also über das Mobilfunknetz oder das WLAN eingespielt. Andere Geräte muss man erst an seinen Computer anschließen, damit diese Update-Benachrichtigung angezeigt wird. Besitzer älterer Geräte können die neue Software jedoch wahrscheinlich gar nicht einspielen. Was also tun, bis das Update kommt? Der Ulmer Sicherheitsforscher Bastian Könings rät:
"Dann sollte man diese Dienste nicht nutzen. Man sollte die automatische Synchronisierung abschalten, das kann man im Einstellungsmenü von Android machen. Dann werden die Daten im Hintergrund nicht mehr synchronisiert. Man sollte dann aber auch darauf achten, dass man Kalender und Kontakte in offenen WLANs nicht öffnet."
Wenn man das Android-Telefon in einem offenen WLAN genutzt hat, sollte man dem Telefon sagen, dass es den Namen dieses Netzes wieder vergessen soll. Sonst verbindet es sich automatisch mit jedem offenen WLAN, das diesen Namen trägt. Zum Vergessen klickt man in die Liste der WLAN-Netze und klick auf "vergessen". Wer unsicher ist, dem rät Forscher Könings:
"Im Grunde sollte man sein Passwort sowieso öfter ändern. Aber wer jetzt unsicher ist, ob er schon Opfer einer solchen Attacke geworden ist, sollte sein Google-Passwort ändern."
Wer jetzt also sein Google-Passwort ändert, die oben genannten Tipps beherzigt und nur in verschlüsselten WLANs unterwegs ist, kann beruhigt auf das Update warten.