Die Android-Lücke als Chance

Zur Zeit wird überall über eine Sicherheitslücke in Android-Smartphones berichtet, dazu ein paar Worte. Zuallererst: Wirklich peinlich, dass das sogar Googles Hausapplikationen betrifft, bin von denen mehr Sorgfalt gewohnt. Beschämend. Das grundsätzliche Problem betrifft aber bei weitem nicht nur Android, sondern liegt im allgemein viel zu sorglosen Umgang mit unverschlüsselten Netzzugängen. Wer ein unverschlüsseltes WLAN benutzt, was auf die meisten öffentlichen Hotspots zutrifft, muss sich um eine Verschlüsselung seiner Nutzdaten selber kümmern. Das ist nicht neu, die Firefox-Erweiterung Firesheep hat das vor ein paar Monaten schon eindrucksvoll demonstriert: Man kann es sich in Funkreichweite eines öffentlichen WLANs bequem machen, Firesheep anwerfen und bequem alle eingeloggten (und unverschlüsselten) Facebook-Sessions der Nutzer in Funkreichweite mitlesen und – besonders beeindruckend – übernehmen. Facebook hat, etwas halbherzig, reagiert und den Nutzern die Möglichkeit an die Hand gegeben, sich nur per SSL verschlüsselt bei Facebook zu bewegen, das muss man aber erst (in den Kontoeinstellungen unter Kontosicherheit – Sicheres Durchstöbern (https)) aktivieren und außerdem funktionieren einige Seiten und Apps mit Verschlüsselung schlicht nicht.

Das besonders unangenehme an der aktuellen Android-Situation ist nun, dass die Nachlässigkeit in den zentralen Google-Apps zur Kalender-, Kontakte- und Picasa-Synchronisation stecken. Die meisten Android-Apps lassen sich über den Market aktualisieren, das Problem wäre binnen kürzester Zeit behoben, alles wäre gut. Das passiert übrigens tatsächlich in etlichen Apps auf allen Plattformen und ist ein länger diskutiertes Problem, vor allem, wenn es um Banking-Apps und ähnliche geht. Leider gehören die jetzt betroffenen Apps aber zum Betriebssystem und lassen sich nur durch ein Android-Update auf die ganz aktuelle Version beheben, die für viele ältere Geräte gar nicht kommen wird und für halbwegs aktuelle Geräte vielleicht irgendwann. Wie gesagt, sehr sehr peinlich, dass Google ausgerechnet da so geschlampt hat.

Aber sehen wir es mal positiv und leiten drei Hoffnungen daraus ab:

1. Die Leute gehen nun hoffentlich angemessen kritisch mit offenen WLANs um. Man wird ja noch mal träumen dürfen. Aber im Ernst: Die Sorglosigkeit der Nutzer im Umgang mit öffentlichen WLANs hat mich schon immer gewundert. Wer auf einem Notebook irgendetwas ohne Verschlüsselung benutzt ist irgendwie auch selber schuld. Es sei denn, man kann keine Verschlüsselung aktivieren, dann ist ganz klar der Hersteller schuld. Das ist ähnlich unbedarft, wie seine Passwörter auf irgendwelchen dahergelaufenen Internet-Café-Rechnern einzugeben. Kurz gesagt: Bleiben lassen.

2. Die Gerätehersteller veröffentlichen nun hoffentlich endlich regelmäßig und zeitnah die von Google bereitgestellten Updates. Die Absichtserklärung dazu ist ja unlängst von etlichen Herstellern und Netzbetreibern abgegeben worden, aber Android braucht darüber hinaus eine Möglichkeit, Sicherheitsupdates auch ohne neue Hauptversionen zeitnah einzuspielen, vorzugsweise automatisch. Alles andere führt zur jetzt so unangenehmen Situation. Also ist hier ganz klar Google in der Verantwortung. Aber auch die Kunden: Kauft einfach keine Android-Telefone bei Herstellern, die für nicht mal ein Jahr alte Geräte schon keine Updates mehr liefern.

3. Die App-Entwickler könnten das als Denkanstoß benutzen, endlich nur noch verschlüsselte Kommunikation zu verwenden. Unverschlüsselte Kommunikation auf mobilen Geräten ist ein No-Go, ganz besonders, wenn Session-Tokens oder Zugangsdaten übertragen werden. Das ist nicht neu, aber scheinbar nicht mal bis zu Googles Android-Programmierern vorgestoßen.

Abhilfe in der konkreten Situation schafft übrigens einfach der Verzicht auf unverschlüsselte WLANs. Die sind leicht daran zu erkennen, dass man kein Passwort direkt beim Verbindungsaufbau eingeben muss (unabhängig davon, ob man sich danach im Browser mit irgendeinem Code einloggen muss). Alternativ kann man die Synchronisation von Kontakten, Terminen und Picasa-Bildern erst mal abschalten, bis man ein Update bekommen hat. Vielleicht überdenkt man sowieso mal, ob die Synchronisation von Kontakten und Terminen mit einem Cloud-Anbieter generell eine so gute Idee ist.

P.S. Auch in verschlüsselten WLANs können unverschlüsselte Nutzdaten abgefangen werden. Das ist zwar weniger wahrscheinlich, aber wer weiß, ob der Betreiber eines WLANs nicht allen Datenverkehr aufzeichnet oder die Daten auf dem Weg durch das Internet irgendwo abgefangen werden. Eine sogenannte Ende-zu-Ende-Verschlüsselung sollte also unabhängig von eventueller Verschlüsselung auf einem Teil des Transportweges erfolgen.

So, genug erhobener Zeigefinger. Weitermachen.