Mitarbeiter des Cyber Security Labs der Ben Gurion University haben einen Fehler in der Implementierung virtueller privater Netzwerke (VPN) in Android 4.3 entdeckt. Die Schwachstelle erlaubt es, unverschlüsselten Datenverkehr, der über eine aktive VPN-Verbindung übertragen wird, abzufangen.
Den Forschern zufolge kann eine schädliche App die VPN-Verbindung auf Jelly-Bean-Geräten umgehen und jegliche Kommunikation an eine andere Netzwerkadresse weiterleiten. In einem Video zeigen sie, wie eine solche Anwendung die Betreffzeile einer E-Mail abfängt, obwohl eine VPN-Verbindung etabliert war. Die gesammelten Daten lägen dann im Klartext vor, obwohl sie eigentlich durch den VPN-Tunnel geschützt sein sollten, so die Forscher.
Eine schädliche Anwendung benötige für das Abfangen des VPN-Datenverkehrs nicht einmal Root-Rechte, heißt es in dem Blogeintrag. Die Umleitung erfolge im Hintergrund und lasse den Nutzer in dem Glauben, seine Daten seien „verschlüsselt und sicher“.
Schon Ende Dezember hatten die Forscher eine Lücke in Samsungs Security-Plattform Knox gemeldet. Auch hier soll es mithilfe eines Schadprogramms möglich sein, trotz Verschlüsselung E-Mails mitzulesen und Datenkommunikation aufzuzeichnen.
In der vergangenen Woche bestritten Google und Samsung die Datenlücke. Ihnen zufolge nutzten die Forscher eine legitime Netzwerkfunktion von Android auf eine nicht vorgesehene Weise. Samsung empfahl Nutzern zudem, für jegliche unverschlüsselte Datenkommunikation die in Android integrierte VPN-Funktion zu verwenden.
Die Forscher haben Google nach eigenen Angaben über die fehlerhafte VPN-Implementierung informiert. Sie hätten aber bisher noch keine Antwort erhalten. Zudem wiesen sie darauf hin, dass der Exploit auf Android-4.3-Geräten verschiedener Hersteller funktioniere. Per SSL/TLS verschlüsselter Datenverkehr könne zwar auch abgefangen, aber nicht entschlüsselt werden.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
13 Kommentare zu Sicherheitsforscher melden VPN-Lücke in Android 4.3
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
OMG!!! Da hat jemand einen Sniffer installiert, fängt die Pakete vor dem Tunnel ab, schickt sie an einen Empfänger und wundert sich, dass die unverschlüsselt sind???
Ich glaube ich lehne mich nicht zu weit aus dem Fenster, wenn ich behaupte, dass das praktisch mit jedem System möglich ist.
Peinlich, solch einer „Nachricht“ überhaupt eine Bedeutung beizumessen…
Überfordere doch denn harry nicht mit den ganzen Fachwörtern :)
Ohne Root-Rechte hat ein Sniffer nix auf dem Gerät zu suchen. Einfach mal lesen.
Wenn das nicht ein grober (gewollt?) Schnitzer ist, dann weiss ich nicht, was einer sein könnte: bei VPN hat der gesamte Datenverkehr komplett verschlüsselt abzulaufen. Punkt.
Dass dann Teile davon am VPN vorbei von einer App OHNE ROOT RECHTE an eine dritte Institution/Webseite gehen, ist extrem verdächtig.
Ergo: Androids VPN ist hackbar und unsicher.
Na ja . Gegen 210tausend Iphones ist dasn ja nur ein Fliegenschiss
http://venturebeat.com/2013/03/21/u-s-army-orders-120k-ipads-100k-ipad-minis-200k-ipod-touches-and-210k-iphones/
Nix für ungut Punisher, die Antwort von Square Zero hat mich mehr belustigt.
Kein Thema Judas
Nachtrag, wenn dein geliebtes Apfelprodukt doch so sicher ist, warum hat dann das
US-Verteidigungsministerium gerade 80.000 BlackBerrys angeschafft?
Weil iOS 7 wirklich sch… aussieht?!
Das wird mit Sicherheit nicht der Grund sein.
Ha ha ha, der war wirklich gut, hat die Qualität von der Antwort mit Skoda, als Mac-Harry vor einigen Tagen so nebulös von einer gewissen Firma schrieb, die so toll sein soll.
Ich sehe gerade, Punisher hat sich dazwischen gedrängt, die Antwort war für Square Zero gedacht.
Wen wundert das noch? Mac-Harry natürlich als erster Kommentartor, obwohl, am 21.1. ist ja schon ein ähnlicher Bericht erschienen, da wurde dein Kommentar schon schmerzlich vermisst.;) War da Siri kaputt?
Wen wundert das noch? Gibt es einen Monat, in dem Android nicht irgend ein massives Sicherheitsproblem hat? Wieso nicht direkt auf ein von der Architektur wesentlich robusteres System setzen? So zeigt sich immer wieder, das iPhone und iPad im Unternehmensalltag den Anforderungen von Sicherheit am besten entspricht. Von Beginn an.