{"id":11837,"date":"2011-10-20T13:51:14","date_gmt":"2011-10-20T12:51:14","guid":{"rendered":"http:\/\/onsoftware.softonic.de\/?p=11837"},"modified":"2024-03-08T07:00:48","modified_gmt":"2024-03-08T06:00:48","slug":"interview-wie-sicher-sind-android-handys","status":"publish","type":"post","link":"https:\/\/cms-articles.softonic.io\/de\/interview-wie-sicher-sind-android-handys\/","title":{"rendered":"Gef\u00e4hrliche Apps und Sicherheitsl\u00fccken: Ist mein Android-Handy sicher?"},"content":{"rendered":"

\"\"<\/p>\n

Die wenigsten Android-Nutzer wissen, dass ihr geliebtes Smartphone Sicherheitsl\u00fccken aufweisen kann: Potentielle Angreifer verschaffen sich \u00fcber bestimmte Apps oder offene Netzwerke Zugang zu pers\u00f6nlichen Informationen.<\/strong><\/p>\n

Der Medieninformatik-Student Jens Nickels widmete sich vergangenen Mai diesem Thema. Im Rahmen seiner Bachelor-Arbeit an der Universit\u00e4t Ulm untersuchte er das Android-Betriebssystem nach Schwachstellen. Zusammen mit seinen Kommilitonen Bastian K\u00f6nings und Florian Schaub wurde er f\u00fcndig: In offenen drahtlosen Netzwerken, wie man sie vermehrt an Universit\u00e4ten oder in \u00f6ffentlichen Geb\u00e4uden findet, tauschten bei Nickels’ Studie Apps wie Kontakte- oder der Galerie-Programme unverschl\u00fcsselt Daten aus. Dabei konnten Angreifer nicht nur einzelne Informationen auffangen – die offenen Datenpakete enthielten auch die sogenannten AuthTokens<\/em>, mit dem man sich Zugriff auf das gesamte Handy verschafft.<\/p>\n

Im folgenden Interview mit OnSoftware<\/strong> verr\u00e4t Jens, wie er der Sicherheitsl\u00fccke entdeckt hat und was sich bei dem Thema Smartphone-Sicherheit seitdem getan hat.<\/p>\n

OnSoftware: Wie kamst du auf die Idee, gerade Android-Handys auf Sicherheitsl\u00fccken zu untersuchen?<\/strong><\/p>\n

Jens Nickels<\/em>: Android ist sehr weit verbreitet und die Anzahl der Endger\u00e4te und damit auch die Anzahl der Nutzer steigt stetig an. Dar\u00fcber hinaus gab es noch keine umfassende Sicherheitsanalyse des Systems. Bisher wurden zumeist nur einzelne Aspekte betrachtet.<\/p>\n

Was habt ihr unternommen, als euer Fund sich als ernstes Problem heraus stellte?<\/strong><\/p>\n

Zuerst haben wir das Internet durchsucht, um herauszufinden ob das Problem Google schon bekannt war. Ein amerikanischer Wissenschaftler hatte schon entdeckt, dass die Daten unverschl\u00fcsselt versendet werden, die ganze Problematik (Diebstahl des AuthToken <\/em>und damit vollen Zugriff auf die Daten des Nutzers) hatte er jedoch nicht erkannt.<\/p>\n

\"\"<\/a>
\nBastian K\u00f6nings<\/strong>, Jens Nickels<\/strong> und Florian Schaub<\/strong>
\n(Quelle: Institut f\u00fcr Medieninformatik, Universit\u00e4t Ulm)<\/p>\n

Weshalb hat Google zun\u00e4chst nicht auf eure Warnungen reagiert?<\/strong><\/p>\n

Google hat das Thema zun\u00e4chst nicht richtig verstanden. Daher ist die erste Antwort sehr knapp (1 Satz und ein Link) ausgefallen und wir wurden darauf hingewiesen, dass das Problem bekannt w\u00e4re, mit entsprechendem Link dazu im Entwickler Forum. Was dort im Forum beschrieben wurde, war aber ebenfalls nicht mit unserer Sicherheitsl\u00fccke vergleichbar.<\/p>\n

Google war sich also der Auswirkungen des Problems nicht bewusst. Wir schrieben eine weitere E-Mail, die ebenfalls ungeh\u00f6rt blieb. Auch die Ank\u00fcndigung, die Sicherheitsl\u00fccke zu ver\u00f6ffentlichen, brachte keinen Erfolg. Erst nach<\/em> der Ver\u00f6ffentlichung und dem dabei entstandenen Medieninteresse widmete sich Google dem Problem.<\/p>\n

Teil des Problems war ja auch, dass das Datenleck gerade bei Handys mit \u00e4lteren Android-Versionen nicht sofort behoben werden konnte. Wie lange dauerte dieser Prozess?<\/strong><\/p>\n

Das Problem war ja auf allen Android Smartphones vorhanden. Lediglich Android 3, das nur f\u00fcr Tablet-PCs vorgesehen ist, war von dem Problem nicht betroffen. Google war es schlichtweg nicht m\u00f6glich, dieses Problem \u00fcber ein herk\u00f6mmliches Update zu schlie\u00dfen. Bis solch ein Update beim Endverbraucher ankommt, vergehen nicht selten Monate. F\u00fcr dieses Prozedere war die Sicherheitsl\u00fccke zu kritisch und popul\u00e4r in den Medien. Jedoch kostete es Google nur wenige Tage, bis eine L\u00f6sung ausgearbeitet war. Google nutzte eine Art stille Updatefunktion und schloss die L\u00fccke somit innerhalb weniger Tage auf allen Android-Smartphones.<\/p>\n

\"\" <\/strong>Ist das Android-System seitdem wirklich sicherer geworden oder gibt es dennoch gen\u00fcgend m\u00f6gliche Schwachstellen?<\/strong><\/p>\n

Schwachstellen im System gibt es sicherlich noch gen\u00fcgende. Aber Sicherheitsl\u00fccken sind nicht Android-spezifisch. Das iOS von Apple hat genauso mit Sicherheitsl\u00fccken zu k\u00e4mpfen. Jedoch gestaltet sich hier der Updateprozess einfacher. Es gibt ja nur einen Hersteller von iPhones und keine herstellerspezifischen Abwandlungen des iOS.<\/p>\n

Schwachstellen gibt es jedoch auch auf Seiten der Apps. H\u00e4ufig sind es Apps, die sich nicht an Sicherheitsrichtlinien halten und Daten unverschl\u00fcsselt versenden.<\/p>\n

W\u00fcrdest du Android-Nutzern raten, offene Netzwerke generell zu meiden?<\/strong><\/p>\n

Nutzer sollten sich nur im Klaren dar\u00fcber sein, dass der Datenverkehr in offenen Netzen unter Umst\u00e4nden leicht mitgelesen werden kann. Die Sensibilisierung der Nutzer ist oberstes Gebot. Offene WLANs bef\u00fcrworte ich an sich, jedoch muss man sich der T\u00fccken bewusst sein. Ich rate davon ab, sensitive Aktionen (Bankgesch\u00e4fte, o.a.) in offenen WLANs durchzuf\u00fchren.<\/p>\n

Ist die Android-Verschl\u00fcsselung etwas Besonderes? Funktioniert dies etwa bei dem iPhone \u00e4hnlich?<\/strong><\/p>\n

Android nutzt zur Verschl\u00fcsselung des Datenverkehrs nun SSL (Transport Layer Security<\/a>). Vorher wurden die Daten eben unverschl\u00fcsselt versendet. SSL ist der<\/em> Standard, wenn es um die Verschl\u00fcsselung von Datenverkehr geht. Auch das iPhone nutzt f\u00fcr verschl\u00fcsselte Kommunikation diesen Standard.<\/p>\n

Hast du vor nach deinem Studium weiter in diesem Bereich zu forschen?<\/strong><\/p>\n

Forschung auf diesem Gebiet ist sicherlich interessant und sehr ergiebig, jedoch bin ich noch an einem zu fr\u00fchen Zeitpunkt in meinem Studium, um sagen zu k\u00f6nnen dass ich mich auf IT-Sicherheit spezialisiere. Vorstellbar w\u00e4re es f\u00fcr mich auf jeden Fall.<\/p>\n

Beim Ulmer Science Slam erkl\u00e4rten die drei IT-Forscher wie genau so ein Angriff funktioniert:
\n<\/object><\/p>\n

Mehr zu Android<\/a><\/strong><\/h2>\n","protected":false},"excerpt":{"rendered":"

Die wenigsten Android-Nutzer wissen, dass ihr geliebtes Smartphone Sicherheitsl\u00fccken aufweisen kann: Potentielle Angreifer verschaffen sich \u00fcber bestimmte Apps oder offene Netzwerke Zugang zu pers\u00f6nlichen Informationen. Der Medieninformatik-Student Jens Nickels widmete sich vergangenen Mai diesem Thema. Im Rahmen seiner Bachelor-Arbeit an der Universit\u00e4t Ulm untersuchte er das Android-Betriebssystem nach Schwachstellen. Zusammen mit seinen Kommilitonen Bastian K\u00f6nings … Continue reading “Gef\u00e4hrliche Apps und Sicherheitsl\u00fccken: Ist mein Android-Handy sicher?”<\/span><\/a><\/p>\n","protected":false},"author":7024,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","wpcf-pageviews":0},"categories":[3168],"tags":[],"usertag":[],"vertical":[],"content-category":[],"class_list":["post-11837","post","type-post","status-publish","format-standard","hentry","category-how-to"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/posts\/11837","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/users\/7024"}],"replies":[{"embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/comments?post=11837"}],"version-history":[{"count":0,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/posts\/11837\/revisions"}],"wp:attachment":[{"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/media?parent=11837"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/categories?post=11837"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/tags?post=11837"},{"taxonomy":"usertag","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/usertag?post=11837"},{"taxonomy":"vertical","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/vertical?post=11837"},{"taxonomy":"content-category","embeddable":true,"href":"https:\/\/cms-articles.softonic.io\/de\/wp-json\/wp\/v2\/content-category?post=11837"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}