Android speichert WLAN-Passwörter unverschlüsselt auf Google-Server

Schlagzeilen

Alle

"Let's Dance" muss unterbrochen werden

Kannibalen aßen Onkel? Biden irritiert

Elektro-Traditionsunternehmen insolvent

Nagelsmann-Absage: Hoeneß äußert sich

"Let's Dance": Diese zwei Stars sind raus

Schweinsteiger teilt privaten Paarmoment

Royal erlebt Schreckmoment auf USA-Reise

Ex-Bundesliga-Star mit kurioser Klausel

Nationalspielerin droht Olympia-Aus

Bystron: Videos sollen Geldübergabe zeigen

Serienstar wollte sich ermorden lassen

RTL: Promi reißt im TV das Oberteil

Herzschwäche: 10 Symptome weisen darauf hin

Alle Schlagzeilen anzeigen

Handy & Smartphone
WLAN-Daten: Google kopiert Passwörter unverschlüsselt auf eigene Server

Von spiegel-online

Aktualisiert am 19.07.2013Lesedauer: 3 Min.

Google speichert WLAN-Passwörter von Android-Nutzern unverschlüsselt in seinen Rechenzentren. (Quelle: Google)

News folgen

Die Backup-Funktion von Googles Betriebssystem Android kopiert Passwörter für WLAN-Netze auf Server des Konzerns – unverschlüsselt. Entwickler warnen seit Tagen vor dem Leck, Universitäten sind alarmiert, Google schweigt. Der Konzern könnte Millionen Kennwörter besitzen.

Das Passwort zum eigenen Drahtlos-Netzwerk sollte man nie mit Fremden teilen, rät Google. Der Konzern warnt in einer Anleitung, man würde ja auch nie einem Fremden "den Schlüssel zum eigenen Haus geben". Bei der eigenen Backup-Funktion des Android-Systems missachtet Google diesen Hinweis: Der Dienst kopiert die WLAN-Passwörter standardmäßig unverschlüsselt auf Google-Server. Betroffen sind alle Netzwerke, mit denen das jeweilige Android-Smartphone oder Tablet je verbunden war.

Fehlermitteilung weist auf Schwachstelle hin

Das geht aus einer Fehlermitteilung in Googles offiziellem Android-Entwicklerforum hervor. Eingereicht hat sie Anfang der Woche Micah Lee, Chefentwickler bei der US-Bürgerrechtsorganisation EFF. Er warnt vor einem großen Sicherheitsproblem. Die Passwörter würden unverschlüsselt auf Google-Server übertragen. Lee sieht dies vor dem Hintergrund der Datenzugriffe von US-Geheimdiensten besonders kritisch: "Regierungsstellen können die Daten abfragen." Der Fachdienst Heise Security bewertet es als verwunderlich, dass Google ein "solcher Lapsus" unterlaufen sei. Das Rechenzentrum der Universität Passau verbietet Anwendern die Nutzung des Google-Dienstes wegen Sicherheitsbedenken.

Google schweigt

Google hat bislang nicht reagiert. Lees Fehlermeldung steht unbearbeitet im System, ein Google-Mitarbeiter hat sie gelesen und lediglich angemerkt, man solle dies in einem anderen Forum melden. Fragen von Spiegel online blieben bis zu Veröffentlichung dieses Artikels unbeantwortet.

Die Passwort-Übertragung ist in vieler Hinsicht problematisch:

Die Funktion ist zumindest auf einem Teil der Android-Geräte standardmäßig aktiviert, das ist bei Testgeräten von Heise Online und Micah Lee der Fall. Auch in Foren melden Nutzer, dass die Sicherung als Standardeinstellung aktiviert ist.
Es kann somit als sicher gelten, dass Google eine Datenbank mit Einträgen zu Millionen von Nutzerkonten besitzt, in der neben den genutzten WLANs auch Kennwörter stehen.
Viele Nutzer verwenden dieselben Passwörter für mehrere Dienste. Außerdem ist bei einigen Unternehmen das Login-Passwort für Netzwerke dasselbe wie das zur Anmeldung am Rechner im Firmennetz. In Googles WLAN-Passwort-Listen dürften also einige brisante Zugangsinformationen enthalten sein.
Google besitzt bereits eine Datenbank mit den Namen und Positionsdaten von WLAN-Netzwerken auf aller Welt. Seit 2008 ist bekannt, dass Googles Street-View-Autos die Positionen von Mobilfunkmasten und WLAN-Hotspots weltweit erfassen. Theoretisch könnte man die Positionsdaten mit den Informationen darüber abgleichen, welcher Android-Nutzer sich in welchen WLANs angemeldet hat.
Nutzer haben keine Möglichkeit, einzelne Datensätze zu Android-Geräten von den Google-Servern zu löschen. Loggt man sich in das eigene Google-Konto ein, findet man unter dem Stichwort "Android" eine Auflistung aller Geräte, auf denen man sich jemals mit dem Google-Konto angemeldet hat, inklusive eindeutiger Identifikationsnummer, dem Tag der Registrierung und dem der letzten Anmeldung. Löschen kann man hier nichts.

Google warnt Nutzer nicht

Beim Einrichten eines neuen Android-Handys weist Google nicht auf die Übertragung der Kennwörter hin. Bei unserem Versuch mit einem neuen Samsung Galaxy S4 Zoom war das Kopieren von Einstellungen auf Google-Server standardmäßig aktiviert. In Googles Hinweistext wird das Kopieren von Passwörtern nicht erwähnt:

"Verwenden Sie ihr Google-Konto, um Ihre Apps, Einstellungen und andere Daten zu sichern. Wenn Sie Ihr Konto zuvor gesichert haben, können Sie es jetzt auf diesem Telefon wiederherstellen. Sie können Ihre Sicherungseinstellungen jederzeit unter 'Einstellungen' ändern."

Erst wer diese Einstellungen aufruft, kann dort nachlesen, dass auch WLAN-Daten übertragen werden. Dann aber sind die Kennwörter längst übertragen.

: Smartphone-Neuheiten

Handy & Smartphone: Android-Smartphone wird mit App zum Passwort-Knacker

Mit 300 km/s Richtung Erde: Astronom: Schwarzes Loch ist keine Gefahr für uns

Verschlüsselung als Mindestforderung

Google könnte die übertragenen Daten zumindest verschlüsseln, fordert EFF-Entwickler Lee. So geht zum Beispiel Apple beim Speichern von WLAN-Kennwörtern auf iOS-Geräten vor. Das Unternehmen versichert, dass diese Daten vor dem Upload auf Apple-Server mit einem ans jeweilige Gerät gebundenen Schlüssel gesichert werden. Apple versichert, man habe keine Kopie dieses Schlüssels. Tests von Heise Security zufolge ist das zumindest plausibel – absolute Gewissheit hat man nicht. Bei Android hingegen muss man derzeit davon ausgehen, dass WLAN-Passwörter unverschlüsselt auf Google-Server übertragen werden.