Android LogoDie Welt wird unter gehen und ausnahmsweise sind einmal nicht die Leute von Apple daran Schuld sondern Google hat sie vernichtet! Genauer genommen sind die bösen Androiden diejenigen, die uns diesen Weltuntergang sponsoren. Wahrscheinlich arbeiten alle Android-Handys schon unter der Kontrolle von Skynet zusammen um uns zu vernichten!

Endlich haben die Apple-Anhänger einen Grund auch einmal gegen das Android-System zurückzuschlagen und müssen sich nicht immer die vollkommen Grundlosen Angriffe gegen ihr Lieblingssystem iOS gefallen lassen. Der Grund? Android ist von einer so riesigen Sicherheitslücke Betroffen, dass alle unsere Daten auf einen Schlag unsicher werden und garantiert bösen Menschen in die Hände fallen.

Wie es dazu kommt? Relativ einfach: Google nutzt für seine Dienste "Single Sign-on" oder kurz SSO. Damit gibt es ein Access-Token, mit dem eine Anwendung auf die Daten eines Google-Accounts (Mails, Kalender, etc.) zugreifen kann (Allerdings nur wenn es dafür authorisiert ist aber das ist ein anderes Thema). Diese Daten werden laut Spiegel Online unter Bezugnahme auf die Universität Ulm unverschlüsselt übertragen und sind somit potentiell auslesbar.

Natürlich wird auch gleich ein Fall konstruiert, mit dem das ganz einfach möglich ist: Wir erstellen ein offenes Wlan, geben diesem einen Namen, den das Handy schon kennt und loggen den Netzwerkverkehr mit. Damit bekommen wir den Token, der für einige Zeit gültig ist und können ihn für weitere Zugriffe auf Google-Dienste nutzen.

Allerdings funktioniert das ganze schon, wenn das Handy den Namen des Wlan-Netzes schon kennt, denn nur dann verbindet es sich automatisch mit diesem. Da meine Wlans allerdings alle nicht "FreePublicWifi" (der Vorschlag aus dem Spiegel-Online-Artikel) heißen, wird sich mein Handy nicht automatisch verbinden. Schade und schon funktioniert die Taktik nicht mehr.

Denkt man jetzt einmal genauer nach, mag die Möglichkeit zwar vorhanden sein aber wie wahrscheinlich ist es eigentlich, dass es passiert? Nur wenn ein Nutzer dumm genug ist sich mit einem offenen Wlan mit dem dubiosen Namen "FreePublicWifi" zu verbinden… Wo genau haben die Autoren eigentlich diesen Pfosten ausgegraben? Es ist so etwa seit Anbeginn der Existenz von Wlan bekannt, dass der Netzwerktransfer in einem offenen Wlan geloggt werden kann und somit nicht sicher ist.

Hat nur Android das Problem? Nö. – Oh mein Gott! Windows ist unsicher! OSX ist unsicher! iOS ist unsicher! Android ist unsicher! Linux ist unsicher! ALLES ist unsicher! – Übertrieben? Nein, denn jedes System, welches sich mit einem offenen Wlan verbinden kann ermöglicht es genau dieses Problem zu nutzen. Ist nur Google betroffen? Nein! Jeder Dienst, der zur Authentifikation Tokens nutzt und dessen Admins zu faul oder dumm waren sich ein SSL-Zertifikat zu leisten ist gleichermaßen betroffen.

Somit: Was lernen wir eigentlich daraus? Eigentlich nur, dass es dumme Coder gibt, die unverschlüsselte Verbindungen nutzen obwohl Google in allen Dokumentationen die Beispiele mit "https"-URLs versehen hat. Diese dummen Coder gibt es für Windows, iOS, OSX, Android, Linux und allen anderen Plattformen.

Für mich das Fazit: Entweder ist schon wieder Sommerloch, dass man künstlich Skandale kontruieren muss oder aber die Apple-Jünger-Fraktion brauchte mal wieder eine Schlammschlacht um sich aus dem Fokus zu ziehen. Andere Erklärungen fallen mir gerade nicht mehr ein.

(Android-Bild ist von richd.com geliehen und steht unter CC-By-Nc-Sa-Lizenz)