Startseite
Sie sind hier: Home > Digital > Smartphone & Tablet PC >

Android speichert WLAN-Passwörter unverschlüsselt auf Google-Server

...
t-online.de ist ein Angebot der Ströer Content Group

WLAN-Daten: Google kopiert Passwörter unverschlüsselt auf eigene Server

19.07.2013, 10:15 Uhr | Spiegel Online

Android speichert WLAN-Passwörter unverschlüsselt auf Google-Server. Rechenzentrum von Google. (Quelle: Google)

Google speichert WLAN-Passwörter von Android-Nutzern unverschlüsselt in seinen Rechenzentren. (Quelle: Google)

Die Backup-Funktion von Googles Betriebssystem Android kopiert Passwörter für WLAN-Netze auf Server des Konzerns – unverschlüsselt. Entwickler warnen seit Tagen vor dem Leck, Universitäten sind alarmiert, Google schweigt. Der Konzern könnte Millionen Kennwörter besitzen.

Das Passwort zum eigenen Drahtlos-Netzwerk sollte man nie mit Fremden teilen, rät Google. Der Konzern warnt in einer Anleitung, man würde ja auch nie einem Fremden "den Schlüssel zum eigenen Haus geben". Bei der eigenen Backup-Funktion des Android-Systems missachtet Google diesen Hinweis: Der Dienst kopiert die WLAN-Passwörter standardmäßig unverschlüsselt auf Google-Server. Betroffen sind alle Netzwerke, mit denen das jeweilige Android-Smartphone oder Tablet je verbunden war.

Fehlermitteilung weist auf Schwachstelle hin

Das geht aus einer Fehlermitteilung in Googles offiziellem Android-Entwicklerforum hervor. Eingereicht hat sie Anfang der Woche Micah Lee, Chefentwickler bei der US-Bürgerrechtsorganisation EFF. Er warnt vor einem großen Sicherheitsproblem. Die Passwörter würden unverschlüsselt auf Google-Server übertragen. Lee sieht dies vor dem Hintergrund der Datenzugriffe von US-Geheimdiensten besonders kritisch: "Regierungsstellen können die Daten abfragen." Der Fachdienst Heise Security bewertet es als verwunderlich, dass Google ein "solcher Lapsus" unterlaufen sei. Das Rechenzentrum der Universität Passau verbietet Anwendern die Nutzung des Google-Dienstes wegen Sicherheitsbedenken.

Reichweite erhöhen 
Besserer Empfang für Ihr WLAN

Wenn's nicht richtig funkt - das können Sie tun. Video

Google schweigt

Google hat bislang nicht reagiert. Lees Fehlermeldung steht unbearbeitet im System, ein Google-Mitarbeiter hat sie gelesen und lediglich angemerkt, man solle dies in einem anderen Forum melden. Fragen von Spiegel online blieben bis zu Veröffentlichung dieses Artikels unbeantwortet.

Die Passwort-Übertragung ist in vieler Hinsicht problematisch:

  • Die Funktion ist zumindest auf einem Teil der Android-Geräte standardmäßig aktiviert, das ist bei Testgeräten von Heise Online und Micah Lee der Fall. Auch in Foren melden Nutzer, dass die Sicherung als Standardeinstellung aktiviert ist.
  • Es kann somit als sicher gelten, dass Google eine Datenbank mit Einträgen zu Millionen von Nutzerkonten besitzt, in der neben den genutzten WLANs auch Kennwörter stehen.
  • Viele Nutzer verwenden dieselben Passwörter für mehrere Dienste. Außerdem ist bei einigen Unternehmen das Login-Passwort für Netzwerke dasselbe wie das zur Anmeldung am Rechner im Firmennetz. In Googles WLAN-Passwort-Listen dürften also einige brisante Zugangsinformationen enthalten sein.
  • Google besitzt bereits eine Datenbank mit den Namen und Positionsdaten von WLAN-Netzwerken auf aller Welt. Seit 2008 ist bekannt, dass Googles Street-View-Autos die Positionen von Mobilfunkmasten und WLAN-Hotspots weltweit erfassen. Theoretisch könnte man die Positionsdaten mit den Informationen darüber abgleichen, welcher Android-Nutzer sich in welchen WLANs angemeldet hat.
  • Nutzer haben keine Möglichkeit, einzelne Datensätze zu Android-Geräten von den Google-Servern zu löschen. Loggt man sich in das eigene Google-Konto ein, findet man unter dem Stichwort "Android" eine Auflistung aller Geräte, auf denen man sich jemals mit dem Google-Konto angemeldet hat, inklusive eindeutiger Identifikationsnummer, dem Tag der Registrierung und dem der letzten Anmeldung. Löschen kann man hier nichts.

Google warnt Nutzer nicht

Beim Einrichten eines neuen Android-Handys weist Google nicht auf die Übertragung der Kennwörter hin. Bei unserem Versuch mit einem neuen Samsung Galaxy S4 Zoom war das Kopieren von Einstellungen auf Google-Server standardmäßig aktiviert. In Googles Hinweistext wird das Kopieren von Passwörtern nicht erwähnt:

Computer-Video 
WLAN: Billiger Basteltrick für deutlich mehr Leistung

Ganz einfach: WLAN-Funkreichweite steigern mit einem Stück Alufolie. Video

"Verwenden Sie ihr Google-Konto, um Ihre Apps, Einstellungen und andere Daten zu sichern. Wenn Sie Ihr Konto zuvor gesichert haben, können Sie es jetzt auf diesem Telefon wiederherstellen. Sie können Ihre Sicherungseinstellungen jederzeit unter 'Einstellungen' ändern."

Erst wer diese Einstellungen aufruft, kann dort nachlesen, dass auch WLAN-Daten übertragen werden. Dann aber sind die Kennwörter längst übertragen.

Verschlüsselung als Mindestforderung

Google könnte die übertragenen Daten zumindest verschlüsseln, fordert EFF-Entwickler Lee. So geht zum Beispiel Apple beim Speichern von WLAN-Kennwörtern auf iOS-Geräten vor. Das Unternehmen versichert, dass diese Daten vor dem Upload auf Apple-Server mit einem ans jeweilige Gerät gebundenen Schlüssel gesichert werden. Apple versichert, man habe keine Kopie dieses Schlüssels. Tests von Heise Security zufolge ist das zumindest plausibel – absolute Gewissheit hat man nicht. Bei Android hingegen muss man derzeit davon ausgehen, dass WLAN-Passwörter unverschlüsselt auf Google-Server übertragen werden.

Liebe Leserin, lieber Leser, aktuell können zu diesem Thema keine neuen Kommentare abgegeben werden. Ab 6 Uhr können Sie hier wieder wie gewohnt diskutieren. Wir danken für Ihr Verständnis.
Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Neue Kommentare laden
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre Adresse an.

Name
E-Mail
Betreff
Nachricht

Wählen Sie aus dem Pull-Down-Menü Ihren gewünschten Ansprechpartner aus. Vielen Dank für Ihre Mitteilung.

Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Anzeige
Video des Tages
Die besten Videos des Jahres 2016 
Historischer Panzer fährt nach 70 Jahren wieder

Mit großer Not startet der 520-PS-starke Motor zu neuem Leben. Video


Shopping
Shopping
Nur heute und nur für die 1.000 schnellsten Besteller

tolino page eBook-Reader zum Schnäppchenpreis von nur 49.- € statt 69.- € bei Weltbild.de. Shopping

Shopping
iPhone 7 32 GB im Tarif MagentaMobil L mit Handy

Nur 99,95 €¹. Nur online: 24 Monate 10 % sparen! bei der Telekom Shopping

Vernetzung
Christmas Shopping: Jetzt 15,- € Gutschein sichern!

Nur bis zum 14.12.16. Erfahren Sie mehr zur Aktion auf MADELEINE.de.

tchibo.deOTTObonprix.deESPRITC&ACECILzalando.dedouglas.deKlingel.de

Anzeige
shopping-portal