Update, Mittwoch um 11:45 Uhr. PT: Google hat ein Update herausgegeben, das die betroffenen Google-Apps dazu zwingt, über das sichere Protokoll HTTPS eine Verbindung herzustellen. Solange Sie Ihre Apps aktualisieren, wenn der Fix veröffentlicht wird, hat Sie keine öffentlichen Wi-Fi-Sicherheitsanfälligkeiten. Bis dahin ist es am besten, öffentliches WLAN mit äußerster Vorsicht zu verwenden oder die folgenden Anweisungen zu befolgen.

Android-Handys und -Tablets, auf denen Version 2.3.3 oder früher ausgeführt wird, leiden nach einem neuen Bericht unter einer Sicherheitslücke in Bezug auf Kalender und Kontaktinformationen in öffentlichen Wi-Fi-Netzwerken. Es gibt jedoch einige konkrete Schritte, um sich zu schützen.

So funktioniert das. Die Sicherheitsanfälligkeit liegt in der ClientLogin-Protokoll-API, die die Kommunikation der Google-App mit den Servern von Google optimiert. Anwendungen fordern den Zugriff an, indem sie einen Kontonamen und ein Kennwort über eine sichere Verbindung senden. Der Zugriff ist bis zu zwei Wochen gültig. Wenn die Authentifizierung über unverschlüsseltes HTTP gesendet wird, kann ein Angreifer mithilfe von Netzwerk-Sniffing-Software die Authentifizierung über ein legitimes öffentliches Netzwerk stehlen oder das Netzwerk vollständig über ein öffentliches Netzwerk mit einem gebräuchlichen Namen spekulieren, z. B. "Flughafen" oder "Bibliothek". Während dies in Android 2.3.4 oder höher, einschließlich Honeycomb 3.0, nicht funktioniert, deckt dies nur 1 Prozent der verwendeten Geräte ab.

Natürlich ist es die sicherste Lösung, die Verwendung öffentlicher, unverschlüsselter Wi-Fi-Netzwerke durch den Wechsel zu mobilen 3G- und 4G-Netzwerken zu vermeiden, wann immer dies möglich ist. Dies ist jedoch nicht immer eine Option, insbesondere für Besitzer von Tablets, die nur über Wi-Fi verfügen, oder solche, die enge Datenpläne haben.

Eine legitime Option, wenn Sie mühsam arbeiten, ist das Deaktivieren der Synchronisierung für die betroffenen Google-Apps, wenn Sie über ein öffentliches WLAN verbunden sind. Das Sicherheitsrisiko betrifft Apps, die über ein Protokoll namens authToken eine Verbindung zur Cloud herstellen, nicht HTTPS. Zu den Apps, die von den Forschern getestet wurden, die den Bericht verfasst haben, der die Sicherheitsanfälligkeit aufdeckt, gehören Kontakte, Kalender und Picasa. Google Mail ist nicht anfällig, da es HTTPS verwendet.

Dies ist jedoch ein umständlicher Fix, da vor dem Herstellen einer Verbindung in jede App vorgegangen werden muss und die Synchronisierung manuell deaktiviert wird, während Sie sich in einem bestimmten öffentlichen Wi-Fi-Netzwerk befinden. Eine viel einfachere Lösung ist die Verwendung einer App. Eine der besten Apps für sichere Kommunikation ist SSH-Tunnel (Download), der für Android-Benutzer entwickelt wurde, die sich hinter der Great Firewall of China befinden. Der SSH-Tunnel weist einige Einschränkungen auf: Sie müssen Ihr Telefon als root verwenden, und die Hersteller raten denjenigen, die nicht in China sind, dringend, sich eine sichere Tunnel-App an einem anderen Ort zu suchen.

Eine bessere Lösung scheint ConnectBot (Download) zu sein, der sogar eine Version seiner Website anbietet, die Versionen von Android vor Cupcake unterstützt.

Benutzer von benutzerdefinierten ROMs von Drittanbietern wie CyanogenMod sollten prüfen, mit welchen Sicherheitsverbesserungen ihr installiertes ROM ausgestattet ist. In CyanogenMod ist beispielsweise die VPN-Unterstützung integriert und deaktiviert. Cyanogen-Benutzer können über das Einstellungsmenü darauf zugreifen, tippen Sie auf Drahtlos- und Netzwerkeinstellungen und anschließend auf VPN-Einstellungen.

Angesichts der Fragmentierung auf Android-Geräten stellt dies ein schwerwiegendes Sicherheitsrisiko dar, das nur durch die Beschränkung auf bestimmte Apps und öffentliche Netzwerke gemindert wird. Die ideale Lösung ist, dass Google App-Fixes oder Android-Updates so schnell wie möglich veröffentlicht, obwohl das Unternehmen keine Angaben dazu gemacht hat, welche Schritte es wann unternehmen wird. Gehen Sie wie immer bei der Verwendung öffentlicher Wi-Fi-Netzwerke mit Vorsicht vor.