Google speichert vermutlich WLAN-Passwörter in Klartext

Passwort Hack

Micah Lee, Mitarbeiter der Bürgerrechtsorganisation Electronic Frontier Foundation ist bei Android auf ein Privacy-Problem gestoßen. Bei Google sei es grundsätzlich möglich, bei einem Backup hinterlegte WLAN-Passwörter im Klartext zu sehen. Lee geht davon aus, dass diese bereits unverschlüsselt hinterlegt werden.

Dies betrifft die integrierte Backup-Funktion, die nebst Kennwörtern auch eine Liste der kürzlich installierten Apps, Einstellungen und andere Informationen bei Google speichern kann, um auf einem neuen Gerät schnell verfügbar zu sein. Laut Lee sei der Verdacht, dass Google Zugriff auf Klartext hat darin begründet, dass ein neues Gerät die Daten nach dem Login in den eigenen Google-Account ohne weiteres Zutun oder die Eingabe eines weiteren Passworts einpflegen kann. Offen dabei ist, ob die Daten bereits “plain” hinterlegt werden oder Google sie selbst entschlüsseln kann.

Für den Fall, dass Passwörter unverschlüsselt übertragen werden, besteht die Gefahr, dass sie aus dem Datenstrom eines Nutzers während des Backups oder der Wiederherstellung ausgelesen werden können. Außerdem lägen die WLAN-Kennwörter bei einem etwaigen Sicherheitsleck bei Google offen und ließen sich ohne größere Komplikationen den jeweiligen Netzwerken zuordnen.

Selbst bei verschlüsselter Übermittlung ist Vertrauen in den Anbieter der Verschlüsselung notwendig – in diesem Fall auch Google. Bei einer Kompromittierung des Accounts mit aktiviertem Backup haben Unbefugte direkt Zugang zu WLANs deren Kennwörter hinterlegt sind. Micah Lee schlägt vor, synchronisierte Passwörter wenigstens mit dem Google-Login absichern zu können oder überhaupt alle Daten mit einem völlig neuen Code zu sichern.  Wichtig sei dies, da die “Meine Daten sichern”-Funktion oft standardmäßig eingeschaltet sei.

Der Bürgerrechtler hegt die Befürchtung, dass der Internetriese aufgrund der hohen Verbreitung von Android inzwischen eine ansehnliche Abdeckung vieler WLAN-Klartext-Kennwörter weltweit haben dürfte. “Android zu nutzen setzt einen gewissen Grad von Vertrauen gegenüber Google voraus”, so Lee. Der EFF-Mitarbeiter sieht über all dem auch die Gefahr dessen, dass Google von der US-Regierung gezwungen werden kann, die Passwörter auszuhändigen.

[via der Standard; Google Code]

Tags :
    1. Nun, ich würde von einer bösen Datenkrake erwarten, dass sie mich bei der Einrichtung meines Geräts NICHT fragt, ob Einstellungen, App-Daten, WLAN-Passwörter, etc. auf deren Servern abgelegt werden sollen.
      Der Einrichtungs-Assistent von Android fragt aber.
      Und wenn ein neues Gerät dem selben Google-Account zugeordnet wird, werden eben, sofern der User das GEWÜNSCHT hat, genau diese Daten auf dem neuen Gerät wieder hergestellt.

    1. Süß wie das kleine Marcilein mal wieder überhaupt nichts kapiert, sich aber unbedingt zu Wort melden muss.

      Also noch einmal, Blindpeese:
      1.: Die böse Datenkrake fragt, ob die Passwörter gespeichert werden sollen
      2a: der User sagt ja -> die Passwörter werden gespeichert (und ggfs. auf neue Geräte übertragen bzw. auf dem alten wiederhergestellt).
      2b: der User sagt nein -> die Passwörter werden nicht gespeichert (würden sie trotzdem gespeichert, wäre das in der Tat ein Problem!)
      Es wird genau das gemacht, was der User wünscht.
      Diverse Prollfone-Foren sind übrigens voll mit Gejammer, weil Apple das nicht so macht.

      Im Übrigen ist es lustig, dass ausgerechnet du (“Soll Spiele-Max doch per WLAN überwachen, dass ich am Modellauto-Regal wieder länger vor dem Panamera als vor dem 911 gestanden habe, ist doch überhaupt kein Problem”) jetzt dein Herz für den Datenschutz entdeckst.

      1. Im Übrigen ist es lustig, dass ausgerechnet du (“Soll Spiele-Max doch per WLAN überwachen, dass ich am Modellauto-Regal wieder länger vor dem Panamera als vor dem 911 gestanden habe, ist doch überhaupt kein Problem”) jetzt dein Herz für den Datenschutz entdeckst.

        +1

  1. Bei Apple werden die Daten verschlüsselt gespeichert und lassen sich nur von dem Gerät aus entschlüsseln. Das ist doch ein großer Unterschied. Aber hey warum meckern wir über die Internet
    firmen? Der Staat ist doch die schlimmste Kracke von allen

  2. tralalala…. hey, es sind nur daten… hey, mein tipp passwörter ständig ändern und nicht speichern…..
    öddelll töddel töfff….

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Advertising