Deutsche Forscher haben nun eine Sicherheitslücke entdeckt, wobei es möglich ist für einen Angreifer, unter Android 2.1 und 2.2, sowie auch Desktopanwendung die das ClientLogin-Protokoll verwenden,
die Authentifizierungs-Token (AutheToken) für zum Beispiel Google Anwendungen wie Google Kalender, Google Mail, Picasa auszulesen.
Dabei wird bei der Anmeldung beim Google Server der Authentifizierungstoken im Klartext gesendet.
Um diesen Key mitlesen zu können z.B. muss man sich allerdings an einem öffentlichen Wlan oder an einem privatem nicht gesicherten WLAN Accsess Point befinden.
Wer aber solche „brisante“Daten über einem öffentlichen oder unverschlüsselten WLAN Accsess Point sendet hats nicht anders verdient. (meine Meinung)
In Android 2.3.4 hat Google die Synchronisierungzugriffe für den Kalender und die Kontakte auf HTTPS umgestellt, für die ab 2.3.3 verfügbare Picasa-App jedoch noch nicht.
Das Android-Team und der Entwickler der App sollen jedoch daran bereits arbeiten. Den anderen Herstellern von Apps empfehlen die Ulmener Forscher,
für das ClientLogin-Protokoll durchgehend HTTPS zu verwenden oder auf das sicherere OAuth zu wechseln.
Diese Lücke lässt sich schliessen durch ein Update auf 2.3.3 aber die meisten Android Smartphone Besitzer haben zur Zeit noch Geräte die entweder keine Update bisher erhalten haben oder aber kein Update
bekommen, weil sie eines der älteren Geräte besitzen.
Hoffen wir das alles gut geht und keiner diese Sicherheitslücke ausnutzt.
Quelle: Uni Ulm