W-Lan-Daten: Google kopiert Passwörter unverschlüsselt auf eigene Server

Von

Bilder aus Rechenzentren: Googles Schatzkammern Fotos
Google / Connie Zhou

Die Backup-Funktion von Googles Betriebssystem Android kopiert Passwörter für W-Lan-Netze auf Server des Konzerns - unverschlüsselt. Entwickler warnen seit Tagen vor dem Leck, Universitäten sind alarmiert, Google schweigt. Der Konzern könnte Millionen Kennwörter besitzen.

Das Passwort zum eigenen Drahtlos-Netzwerk sollte man nie mit Fremden teilen, rät Google. Der Konzern warnt in einer Anleitung, man würde ja auch nie einem Fremden "den Schlüssel zum eigenen Haus geben". Bei der eigenen Backup-Funktion des Android-Systems missachtet Google diesen Hinweis: Der Dienst kopiert die W-Lan-Passwörter standardmäßig unverschlüsselt auf Google-Server. Betroffen sind alle Netzwerke, mit denen das jeweilige Android-Smartphone oder Tablet je verbunden war.

Das geht aus einer Fehlermitteilung in Googles offiziellem Android-Entwicklerforum hervor. Eingereicht hat sie Anfang der Woche Micah Lee, Chefentwickler bei der US-Bürgerrechtsorganisation EFF. Er warnt vor einem großen Sicherheitsproblem. Die Passwörter würden unverschlüsselt auf Google-Server übertragen. Lee sieht dies vor dem Hintergrund der Datenzugriffe von US-Geheimdiensten besonders kritisch: "Regierungsstellen können die Daten abfragen." Der Fachdienst Heise Security bewertet es als verwunderlich, dass Google ein "solcher Lapsus" unterlaufen sei. Das Rechenzentrum der Universität Passau verbietet Anwendern die Nutzung des Google-Dienstes wegen Sicherheitsbedenken.

Google hat bislang nicht reagiert. Lees Fehlermeldung steht unbearbeitet im System, ein Google-Mitarbeiter hat sie gelesen und lediglich angemerkt, man solle dies in einem anderen Forum melden. Fragen von SPIEGEL ONLINE blieben bis zu Veröffentlichung dieses Artikels unbeantwortet.

Die Passwort-Übertragung ist in vieler Hinsicht problematisch:

  • Die Funktion ist zumindest auf einem Teil der Android-Geräte standardmäßig aktiviert, das ist bei Testgeräten von Heise Online und Micah Lee der Fall. Auch in Foren melden Nutzer, dass die Sicherung als Standardeinstellung aktiviert ist.
  • Es kann somit als sicher gelten, dass Google eine Datenbank mit Einträgen zu Millionen von Nutzerkonten besitzt, in der neben den genutzten W-Lans auch Kennwörter stehen.
  • Viele Nutzer verwenden dieselben Passwörter für mehrere Dienste. Außerdem ist bei einigen Unternehmen das Login-Passwort für Netzwerke dasselbe wie das zur Anmeldung am Rechner im Firmennetz. In Googles W-Lan-Passwort-Listen dürften also einige brisante Zugangsinformationen enthalten sein.
  • Google besitzt bereits eine Datenbank mit den Namen und Positionsdaten von W-Lan-Netzwerken auf aller Welt. Seit 2008 ist bekannt, dass Googles Street-View-Autos die Positionen von Mobilfunkmasten und W-Lan-Hotspots weltweit erfassen. Theoretisch könnte man die Positionsdaten mit den Informationen darüber abgleichen, welcher Android-Nutzer sich in welchen W-Lans angemeldet hat.
  • Nutzer haben keine Möglichkeit, einzelne Datensätze zu Android-Geräten von den Google-Servern zu löschen. Loggt man sich in das eigene Google-Konto ein, findet man unter dem Stichwort "Android" eine Auflistung aller Geräte, auf denen man sich jemals mit dem Google-Konto angemeldet hat, inklusive eindeutiger Identifikationsnummer, dem Tag der Registrierung und dem der letzten Anmeldung. Löschen kann man hier nichts.

Beim Einrichten eines neuen Android-Handys weist Google nicht auf die Übertragung der Kennwörter hin. Bei unserem Versuch mit einem neuen Samsung Galaxy S4 Zoom war das Kopieren von Einstellungen auf Google-Server standardmäßig aktiviert. In Googles Hinweistext wird das Kopieren von Passwörtern nicht erwähnt:

"Verwenden Sie ihr Google-Konto, um Ihre Apps, Eisntellungen und andere Daten zu sichern. Wenn Sie Ihr Konto zuvor gesichert haben, können Sie es jetzt auf diesem Telefon wiederherstellen. Sie können Ihre Sicherungseinstellungen jederzeit unter 'Einstellungen' ändern."

Erst wer diese Einstellungen aufruft, kann dort nachlesen, dass auch W-Lan-Daten übertragen werden. Dann aber sind die Kennwörter längst übertragen.

Google könnte die übertragenen Daten zumindest verschlüsseln, fordert EFF-Entwickler Lee. So geht zum Beispiel Apple beim Speichern von W-Lan-Kennwörtern auf iOS-Geräten vor. Das Unternehmen versichert, dass diese Daten vor dem Upload auf Apple-Server mit einem ans jeweilige Gerät gebundenen Schlüssel gesichert werden. Apple versichert, man habe keine Kopie dieses Schlüssels. Tests von Heise Security zufolge ist das zumindest plausibel - absolute Gewissheit hat man nicht.

Bei Android hingegen muss man derzeit davon ausgehen, dass W-Lan-Passwörter unverschlüsselt auf Google-Server übertragen werden.

Der Autor auf Facebook

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 188 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Google ist eine Suchmaschine...
rolandjulius 17.07.2013
und wird folglich als solche betrieben. Mit der Elektronik wurde das Briefgeheimnis abgeschafft!
2. 1 + 1 .. .
Dr.Sockenschuss 17.07.2013
Dann waren da ja noch die WLan-Aufzeichnungen auf Google-Maps .. .
3. optional
moerp 17.07.2013
Wenn Friedrich im Lichte dieser enthüllung zu mehr Eigenverantwortung in Sachen Datenschutz aufruft, wirkt das umso lächerlicher. Oder will er damit zum Boykot von Android-Systemen aufrufen?
4.
meineidbauer 17.07.2013
Zitat von sysopGoogle / Connie ZhouDie Backup-Funktion von Googles Betriebssystem Android kopiert Passwörter für W-Lan-Netze auf Server des Konzerns - unverschlüsselt. Entwickler warnen seit Tagen vor dem Leck, Universitäten sind alarmiert, Google schweigt. Der Konzern könnte Millionen Kennwörter besitzen. http://www.spiegel.de/netzwelt/netzpolitik/w-lan-daten-google-kopiert-kennwoerter-unverschluesselt-auf-us-server-a-911574.html
Sicher nur ein dummer Zufall, genauso wie das skimmen von WLan Netzen bei Streetview... Alles nur dumme Zufälle. Aber wer nichts zu verbergen hat, dem kann das ja egal sein...
5. Die falsche Richtung
rondon 17.07.2013
Natürlich ist es nicht nur die NSA...da baut sich ein ganzes System auf das einfach falsch läuft und das man am ehesten als Techno-Faschismus bezeichnen kann. Mit allem was dazu gehört: Lückenlose Überwachung, Denunziation von Kritikern, Erpressung, Kontrollwahn. Es ist an der Zeit umzukehen. Wie man sieht sehen das viele so und verabreden sich auch schon für den 27.07. zu weltweiten Protesten: Presseerklärung #StopWatchingUs - Berliner Cluster "Coop" .2 - Pastebin.com (http://pastebin.com/9Pwq00Zq)
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Netzpolitik
RSS
alles zum Thema Google
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 188 Kommentare

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.