Don't be evil. Das war lange Zeit das offizielle Motto von Google, aber dank diverser Datenlecks und im Rahmen des PRISM-Abhörskandals will daran keiner mehr so recht glauben. Und die aktuellen Nachrichten dürften diese Einstellung nicht wirklich ändern
Wie jetzt bekannt wurde, übermitteln Geräte mit dem mobilen Betriebssystem Android die Passwörter der WLAN-Netzwerke, in denen das Gerät eingeloggt wird, unverschlüsselt an die Google-eigenen Server. Dies geschieht immer dann, wenn das entsprechende Gerät ein Backup erstellt, mit dem sich Einstellungen und Daten wiederherstellen lassen. Diese Datensicherungen werden nicht lokal auf den Rechnern der Nutzer abgelegt, sondern online an Google übertragen und dort gespeichert. Dabei setzt Google aber offenbar keine Verschlüsselung ein, die Daten werden also in Klarschrift übermittelt, wie jetzt Micah Lee, Chefentwickler bei der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) in einem Fehlereintag im offiziellen Android-Entwicklerforum bekannt gegeben hat.
Das bedeutet, dass der amerikanische Konzern über zig-Millionen Datensätze verfügt, aus denen die Zugangsdaten zu Routern und Netzwerken problemlos herausgelesen werden können. Das ist überaus bedenklich, denn diese Daten können in den Händen Dritter durchaus unerlaubte Zugriffe auf Netzwerke ermöglichen. Dazu könnten auch Geheimdienste zählen, wie die diversen Veröffentlichungen von Edward Snowden gezeigt haben. Dabei bekommen die Nutzer keinerlei Hinweise, dass ihre Daten in unverschlüsselter Form übertragen werden, verschlimmert wird die Situation auch noch dadurch, dass die entsprechende Funktion bei Android standardmäßig aktiviert ist. Um die Übertragung zu umgehen, muss diese explizit ausgeschaltet werden. Dann werden aber gar keine Backups mehr erstellt, die Nutzer können nicht einzelne Teile der Datensicherung deaktivieren.
Zudem können die einmal übertragenen Daten nicht durch den Nutzer gelöscht werden. Im eigenen Account bei Google kann man zwar sehen, welche Geräte jemals auf dem Konto angemeldet waren, entfernen kann man in dieser Übersicht jedoch nichts. Kritisch wird die Situation dann auch dadurch, dass viele Nutzer ihre Passwörter für mehrere Dienste nutzen. Das Passwort für den Router könnte also identisch sein mit dem für das Online-Banking, Flugbuchungen, Mail-Zugänge und viele weitere Anwendungen, weshalb das Missbrauchspotenzial besonders groß sein dürfte.
Google hat bislang noch nicht auf de Fehlermeldung reagiert. Die Mitteilung wurde lediglich gelesen, anschließend wurde der Ersteller darauf aufmerksam gemacht, dass er seine Meldung doch bitte nicht den Android-Entwicklern melden solle, sondern im Google Product Forum. Dort liegt die Meldung seit 15 Stunden unbearbeitet vor. Micah Lee hat in der Fehlermeldung süffisanterweise Google selber zitiert, die in einer Anleitung zum Erstellen sicherer WLAN-Passwörter folgendes geschrieben haben:
Wie jetzt bekannt wurde, übermitteln Geräte mit dem mobilen Betriebssystem Android die Passwörter der WLAN-Netzwerke, in denen das Gerät eingeloggt wird, unverschlüsselt an die Google-eigenen Server. Dies geschieht immer dann, wenn das entsprechende Gerät ein Backup erstellt, mit dem sich Einstellungen und Daten wiederherstellen lassen. Diese Datensicherungen werden nicht lokal auf den Rechnern der Nutzer abgelegt, sondern online an Google übertragen und dort gespeichert. Dabei setzt Google aber offenbar keine Verschlüsselung ein, die Daten werden also in Klarschrift übermittelt, wie jetzt Micah Lee, Chefentwickler bei der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) in einem Fehlereintag im offiziellen Android-Entwicklerforum bekannt gegeben hat.
Das bedeutet, dass der amerikanische Konzern über zig-Millionen Datensätze verfügt, aus denen die Zugangsdaten zu Routern und Netzwerken problemlos herausgelesen werden können. Das ist überaus bedenklich, denn diese Daten können in den Händen Dritter durchaus unerlaubte Zugriffe auf Netzwerke ermöglichen. Dazu könnten auch Geheimdienste zählen, wie die diversen Veröffentlichungen von Edward Snowden gezeigt haben. Dabei bekommen die Nutzer keinerlei Hinweise, dass ihre Daten in unverschlüsselter Form übertragen werden, verschlimmert wird die Situation auch noch dadurch, dass die entsprechende Funktion bei Android standardmäßig aktiviert ist. Um die Übertragung zu umgehen, muss diese explizit ausgeschaltet werden. Dann werden aber gar keine Backups mehr erstellt, die Nutzer können nicht einzelne Teile der Datensicherung deaktivieren.
Zudem können die einmal übertragenen Daten nicht durch den Nutzer gelöscht werden. Im eigenen Account bei Google kann man zwar sehen, welche Geräte jemals auf dem Konto angemeldet waren, entfernen kann man in dieser Übersicht jedoch nichts. Kritisch wird die Situation dann auch dadurch, dass viele Nutzer ihre Passwörter für mehrere Dienste nutzen. Das Passwort für den Router könnte also identisch sein mit dem für das Online-Banking, Flugbuchungen, Mail-Zugänge und viele weitere Anwendungen, weshalb das Missbrauchspotenzial besonders groß sein dürfte.
Google hat bislang noch nicht auf de Fehlermeldung reagiert. Die Mitteilung wurde lediglich gelesen, anschließend wurde der Ersteller darauf aufmerksam gemacht, dass er seine Meldung doch bitte nicht den Android-Entwicklern melden solle, sondern im Google Product Forum. Dort liegt die Meldung seit 15 Stunden unbearbeitet vor. Micah Lee hat in der Fehlermeldung süffisanterweise Google selber zitiert, die in einer Anleitung zum Erstellen sicherer WLAN-Passwörter folgendes geschrieben haben:
Dann wollen wir doch alle mal hoffen, dass wir Google vertrauen können. Apple überträgt die Daten übrigens verschlüsselt."Um Ihr Netzwerk mit WPA2 zu sichern, müssen Sie ein Passwort erstellen. Es ist wichtig, dass Sie ein einmaliges Passwort wählen, mit einer langen Mischung aus Zahlen, Buchstaben und Symbolen, so dass andere es nicht so leicht erraten. Falls Sie sich einen privaten Raum wie Ihrem Haus befinden, es ist OK, dieses Passwort aufzuschreiben, so dass Sie sich daran erinnern können, und dieses an einem sicheren Ort zu verwahren, damit Sie es nicht verlieren. Möglicherweise benötigen Sie es auch, wenn Ihre Freunde sie besuchen und sich über Ihr Netzwerk mit dem Internet verbinden wollen. Genau wie Sie einem Fremden nicht den Schlüssel zu Ihrem Haus geben würden, sollten Sie Ihr WLAN-Passwort nur Menschen geben, denen Sie vertrauen können."
Mit Material von: Spiegel
