Android-Apps senden Authentifizierungstoken unverschlüsselt

Angreifer können eine Schwachstelle in der Datenübertragung von Android ausnutzen, um unbefugt Inhalte von Google Calendar, Picasa-Gallerien und Google Contact anderer Anwender zu manipulieren. Ursache des Problems ist, dass einige Anwendungen ein bei der Anmeldung am Google-Server erhaltenes Authentifizierungs-Token (AutheToken) später im Klartext senden. In unverschlüsselten WLANs oder solchen, bei denen alle Anwender den gleichen Schlüssel benutzen, kann ein Angreifer das Token mit Wireshark mitlesen und für eigene Zwecke verwenden, wie Forscher der Uni Ulm berichten.

Zwar können Neugierige in offenen WLANs die übertragenen Daten von Apps schon länger mitlesen, mit dem Token ist jedoch Zugriff über die Google-API im Kontext des Anwenders möglich. Doch das Problem ist nicht nur auf Google Apps auf Smartphones beschränkt, sondern betrifft alle Android- sowie Desktop-Anwendungen, die das ClientLogin-Protokoll über HTTP statt HTTPS verwenden. Nach Angaben der Forscher gilt dies etwa auch für Thunderbird-Plug-ins auf dem PC zum Zugriff auf den Google Calendar, wenn diese nicht richtig konfiguriert sind. 

Quelle:  heise.de
 

Die vollständige News finden Sie >hier<

Schreibe einen Kommentar