17. Mai 2011

Das Problem besteht in einer fehlerhaften Implementierung des Authentifizierungsprotokolls ClientLogin. Bis zur Android-Version 2.3.3 ist einem Angreifer in einem lokalen Funknetzwerk leicht möglich, die Authentifizierung zu umgehen, um beispielsweise vollen Zugriff auf den Google Calendar, die Kontaktdaten des Anwenders oder Web-Alben (z.B. Picasa) zu erhalten.

Den Anwendern wird geraten, so schnell als möglich auf die Android-Version 2.3.4 umzusteigen, was allerdings zur Zeit nicht ganz einfach ist, da die Hersteller kein geeignetes Update anbieten können. Womit weiterhin 99,7% aller Android-Geräte von dem Problem betroffen sind, denn nur ein winziger Bruchteil der Android-Telefone benutzt Version 2.3.4.

Der beste Schutz besteht daher nach Angaben der Wissenschaftler darin, auf die betroffenen Anwendungen zu verzichten, solange man sein Android-Smartphone in einem offenen WLAN benutzt.

Links:

• Uni-Ulm