Google hat seinen neuen WLAN-Skandal

Google hat einen neuen WLAN-Skandal. Hört man Google und WLAN, dann muss man sicherlich erst einmal auf die „zufällig“ mitgeschnittenen Datenfragmente aus offenen Drahtlosnetzwerken denken. Google wurde damals zur Löschung aufgefordert und mit einem Bußgeld belegt. Der neue „Skandal“ betrifft gespeicherte Netzwerk-Passwörter aller drahtlosen Netzwerke, mit denen ihr euch verbunden habt.

wlan

[werbung]

Google bietet an, diese auf den Google Servern zu speichern – zu Backup-Zwecken. Während die Übertragung dieser Passwörter verschlüsselt abläuft, soll die Speicherung jedoch unverschlüsselt stattfinden. Das ist für den einzelnen Benutzer vielleicht uninteressant, kann doch kein anderer Benutzer dieses WLAN-Passwort erfahren, der nicht Zugriff auf das Smartphone oder die kompletten Kontodaten hat.

Dennoch ist dieser Umstand in Zeiten von Prism und NSA natürlich anders zu gewichten. Interessant ist dieser Umstand auch, weil Google ansonsten rät, das eigene WLAN -Kennwort nicht aus der Hand zu geben.

Böse Zungen behaupten, dass man dieses als „Wasser predigen und Wein saufen“-Methodik bezeichnet. Den Fehler eingereicht hat übrigens Micah Lee, Chefentwickler bei der US-Bürgerrechtsorganisation EFF. Die Electronic Frontier Foundation (EFF) ist eine im Juli 1990 von John Perry Barlow und Mitchell Kapor gegründete nichtstaatliche Organisation mit Sitz in San Francisco, die sich mit den Bürgerrechten im Cyberspace beschäftigt.

Ziel ist eine mediale Selbstbestimmung des Bürgers. Micah Lee fordert, dass Google die Passwörter verschlüsselt, so wie es auch von Apple gemacht werden soll. Euer Senf! Absicht? Dummheit? Fahrlässigkeit? Eigentlich sollte es ein leichtes sein, die Daten zu verschlüsseln – sollte bei Chrome auch funktionieren.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

40 Kommentare

  1. Das MUSS Absicht sein.. Solch ein Unternehmen, kann sich sowas nicht erlauben.
    Ausser es heißt Google?
    Irgendwie finde ich es auch immer noch fraglich, dass Google ein so hippes und trendiges Ansehen hat.. Die schaffen es aber wohl durch ihre sehr gute Image Kampagne immer von solchen Meldungen abzulenken..

    Aber zunächst muss sich das erstmal alles wirklich bewahrheiten, oder sind das alles harte Fakten?

  2. Absicht? Dummheit? Fahrlässigkeit?

    Ja, genau in der Reihenfolge

  3. Jaja, wer dann auch noch WhatsApp benutzt, bei dem ist das riesige Datenschutzdebakel dann perfekt. Sein Verhalten überdenkt aber kaum jemand…

    Muss sich wohl erst jemand in einen Transit-Bereich absetzen und darüber reden 😉

  4. Ich nehme mal stark an, dass das von Anfang an so beabsichtigt war. Google muss ja heutzutage auch irgendwie extern ohne die Erlaubnis der User auf die Daten zugreifen können und dazu intern noch eine Verschlüsselung zu knacken wäre einfach viel zu Umständlich und leistungsverschwendend für die Server…

  5. Michael Raab says:

    Sensible Daten speicher ich nie auf fremden Server. Und schon gar nicht in den USA.

  6. Kann nur Absicht sein. Die Daten einfach mit dem Google Kontopasswort zu verschlüsseln wäre ein Leichtes gewesen und in wenigen Minuten programmiert.

  7. Es gibt in jeder modernen Entwicklungsumgebung Routinen, die checken ob externer Datenverkehr über sichere Verbindungen (ssh, https) läuft. Ich muss fast an Absicht glauben.

    ABER: was bringt das denn? Die Geheimdienste kommen eh an die Passwörter, wenn Snowden Recht hat. Also warum sollte Google dann nicht verschlüsseln? Google hat die Daten ohnehin, egal wie.
    Finde das äußerst seltsam.

    Besondern lustig ist, dass bei der Großzahl der Unternehmen die Logins für die WLANs auch die Firmenlogins sind. Ein Schelm wer hier an Wirtschaftsspionage denkt. 😉

  8. Das ist natürlich ein Fehler, der bis dato niemandem aufgefallen ist. Ebenso wie die eingangs erwähnte massenweise Speicherung der WLAN Daten. Oder die Tatsache, dass Facebook die Daten deines Adressbuchs beim Appstart überträgt, obwohl dem widersprochen wurde. Wer würde das schon absichtlich machen? Abwegig!

    #nicht

  9. „Einstellungen -> Sichern & zurücksetzen -> Meine Daten sichern“
    ausmachen und gut ist. Wenn man root Zugriff aufs System hat, sieht man, dass die Passwörter da ja auch unverschlüsselt gespeichert werden. Ich denke da liegt schon das Problem.

  10. Woher weiß Lee, dass die Daten im Klartext gespeichert werden?

  11. @bMike, wenn die PWDs nicht verschlüsselt gespeichert würden, müßtest du bei jedem WLAN-Connect ein PWD eingeben, entweder das zum Entschlüsseln oder halt das für’s WLAN selber.

    Macht mir persönlich nix, mein WLAN ist offen, die Sicherung beginnt dahinter, kann also trotzdem keiner was mit anfangen, ausser vielleicht ein paar MACs zu sniffen.

  12. Wer seine WLAN-Passwörter in die Cloud hochlädt, ist selber schuld. Und niemand wird gezwungen, diese Funktion zu benutzen.

  13. @Mike nein falsch verstanden. In deinem Filesystem bzw. android ist eine Datei welche die Wlan Konfigurationen deiner bekannten APs als Klartext enthält. Das ist mein Problem 😉
    guck nal unter /data/misc/wifi/wpa_supplicant.conf
    mit nem Texteditor öffnen und du siehst was ich meine.
    Also die Einstellung von oben deaktivieren und WPA key ändern.

  14. @bMike

    wenn du dein Handy verlierst hast auch ein Sicherheitsloch…

  15. @Andy ja leider. Gibt ja noch Vollverschlüsselung. Dann isses wenigstens nicht ganz so einfach.

  16. Irgendwie stehe ich da ein wenig auf dem Schlauch. Es ist zwar unschön, die Daten im Klartext abzulegen, nur müssen diese doch in jedem Fall entschlüsselt werden, um das Passwort für die Anmeldung verwenden zu können. Wenn Google diese mit einem Account-spezifischen Key verschlüsselt, dann kommen sie doch so oder so an die Information. Erfolgt die Verschlüsselung auf dem Device, dann bringt das Backup nicht viel, jedenfalls nicht bei einer Wiederherstellung auf einem Austauschgerät. Ein ähnliches Henne/Ei Problem hatten wir mal in der Firma und haben dass dann so gelöst, dass der eigentliche Key (in unserem Fall AES) in einem Container liegt, der dann durch ein weiteres Passwort auf einem anderen Device wieder recovert werden kann.
    Google sollte also zusätzlich das gesamte Backup mit einem Passwort sichern, dass nur der Benutzer kennt und auch nicht der normalen Anmeldung dient, also nur auf dem Device genutzt wird.

  17. Bei einem Unternehmen in der Größe und mit derartig großer Marktdurchdringung bei internetbezogenen Dienstleistungen kann ich mir leider auch nicht wirklich vorstellen, dass es sich bei diesem Vorgang um ein Versehen oder einen Fehler handelt.

    Wobei ich gar nicht weiß, was schlimmer wäre:
    -> die Tatsache, dass WLAN Passwörter absichtlich im Klartext protokolliert werden
    oder
    -> die Tatsache, dass Google ein derartiger Fehler (sofern unabsichtlich geschehen) unterläuft und dieser so lange nicht bemerkt wird

    leicht OT:
    Ich benutze auch Android und hatte bis vor gut einer Woche auch einige Google Dienst in Benutzung (Suche/Mail/Kalender/Maps etc.). Im Zuge der Enthüllungen bezüglich der Datenschnüffelei us-amerikanischer Geheimdienst habe ich mich dann allerdings entschlossen Google den Rücken zu kehren.

    Auf meinem Smartphone lief sowieso schon länger Cyanogenmod, jedoch mit nachinstallierten Google Apps. Also habe ich um ganz sicher zu gehen, die aktuellste für mein Smartphone verfügbare Version von Cyanogenmod neu installiert.
    Mail, Kalender und Kontakte liegen nun auf einem gemieteten Exchange Server eines deutschen Anbieters mit dem sich mein Smartphone verbindet. Apps beziehe ich per F-Droid und ein paar vereinzelte direkt vom App Hersteller.

    Ich bin mir auch vollkommen im klaren darüber, dass mich diese Maßnahme nicht wirklich gegen PRISM und dergleichen absichert, jedoch fühle ich mich sicherer mit dem Gedanken, dass meine Daten nun im Wirkungskreis der deutschen Datenschutzbestimmungen liegen.

  18. @bMike, ja, sorry, das meinte ich ja. Natürlich sind die unverschlüsselt gespeichert, sonst müßtest du sie ja bei jeder Verwendung entschlüsseln. Um den Komfort halbwegs zu gewährleisten, ginge das nur mittels PWD für den Google-Account, wäre also nix gewonnen.

  19. klaus dieter says:

    @ChackZz…jede sms die du versendest bleibt auf dem server des providers gespeichert und wird bei richterlichem beschluss den behörden überreicht…genauso sieht es mit jedem erhältlichen messenger aus…sogar dein kommentar hier speichert deine ip adresse und du bist für die behörden jederzeit identifizierbar…also lautet die einzige möglichkeit es den russen gleichzutun und nur noch offline zu arbeiten, egal ob telefon, handy, internet..alles ist abhörbar…briefe werden von der post durchleuchtet, etc.pp…wenn du noch nicht verstanden hast, das man der überwachung wenn überhaupt nur durch persönliche treffen umgehen kann (und selbst da nur an wenigen plätzen weil überall kameras und richtmikrofone stehen), dann bist du auch nicht weniger naiv als whatsapp-nutzer

  20. Was bitte soll denn serverseitige Verschlüsselung in Zeiten von Prism noch wert sein? Vor „normalen“ Angreifern auf Google-Servern hätte ich nicht allzuviel Sorge, vor denen kann sich Google auch ohne Verschlüsselung schützen. Wenn die Verschlüsselung nicht auf dem Client erfolgt, den man selbst kontrolliert, ist „Verschlüsselung“ doch nur Augenwischerei und Marketing.

  21. Warum berichtet die Bild noch nicht darüber? 🙂 Sollte doch ein gefundenes Fressen sein…

  22. @LH: Im Grunde genügt ein einfaches „kontrollieren“ auch nicht. Du müsstest dich bereits auf die zugrunde liegende Hardware verlassen können. Hast du bspw. eine Intel CPU mit AES-Befehlssatzerweiterung kannst du der schon nicht vertrauen. Du müsstest für die Verschlüsselung also bereits auf Software zurückgreifen, die diese Erweiterung nicht nutzt (oder die Möglichkeit bietet, explizit nicht auf diese zurückzugreifen). Du bräuchtest daher am besten also schon Open Hardware als Grundlage für alles weitere. Auf Funkmäuse und Tastaturen verzichtest du am besten auch. Und verhindere, dass deine Bildschirmstrahlung sich großartig ausbreitet. Am besten das alles noch in einem schallisolierten Raum, damit die Anschlaggeräusche der Tastatur nicht aufgezeichnet werden können. Webcam und Mikrofon? Weg damit! Im Optimalfall versorgst du deinen Rechner auch noch mit Strom aus einem gesonderten Stromkreis.

  23. Das Netzwerk-Passwort verschlüsselt doch nur vom Endgerät bis zum Router. Für Google macht es keinen Unterschied, ob ich eine Suchanfrage über ein unverschlüsseltes oder verschlüsseltes WLAN absende, die Daten kommen bei Google sowieso im Klartext an.

    Was kann Google also mit meinem Netzwerkpasswort anstellen? Mich zu Hause besuchen und meinen Traffic mitschneiden oder heimlich über meine Internetverbindung surfen? Oder einen NSA-Mitarbeiter schicken, der dann vor meiner Haustür campt? Ne, so paranoid bin ich dann doch noch nicht.

    Ein Skandal wäre es, wenn die Passwörter geleakt worden wären. Wären sie verschlüsselt, wüsste Google auch, wie man wieder entschlüsselt und die NSA wahrscheinlich auch, denn auf Verschlüsselung auf Unternehmensseite ist kein Verlass; die NSA muss nur ein bisschen Druck ausüben, um an die Daten zu kommen.

  24. Finde es unglaublich nach den ganzen Skandalen gibt es immer noch viele die gerne und mit überzeugung Google/Android nutzen weil die Firma ja gut ist und nie etwas böses machen würde….

  25. Ich verstehe garnicht, wie Google das überthaupt nutzen sollte? Die fahren sicher nicht aufs land und sniffen da in meinem wlan, in der stadt werden sie sich auch hüten, wurden ja letztens zurechtgewiesen. ich kann mir vorstellen dass das backupo dort einfach die „wichtigsten“ settingdateien von oder zu den google servern holt, und um darauf zugriff zu haben braucht man ja auch das pw, also wird das keine sicherheitslücke sein!

  26. besucherpete says:

    Das dürfe auch daran liegen, dass es keine wirkliche Alternative gibt.

  27. Solange sich die Google-Mitarbeiter sich nicht selbst in den A****sch schauen kann, sollen die es auch nicht bei mir machen können. Es nervt unerträglich, dieser bewusst fahrlässige Umgang mit unseren Daten.

    Arbeiten in den großen Unternehmen eigentlich nur Arschlöcher? Wir alle schimpfen auf die Firmen wenn solch eine Schweinerei herrauskommt, tatsächlich aber sind es die Entwickler, die den Mist umsetzen. Entweder haben die alle keinen Arsch in der Hose sich mal zusammenzusetzen und gegen Entscheidungen aus der oberen Etage vorzugehen, oder es arbeiten dort wirklich nur Eierköpfe die nicht bis zur nächsten Ecke denken können um die zukünftigen Konsequenzen zu erkennen.

    Hatte die letzten Tagen ernsthaft überlegt mir mal wieder einen Androiden zuzulegen. Die können sich mal gehackt legen…Interessiert Google aber wohl herzlich wenig, die haben eh schon meine kompletten Daten.

  28. Hä, ist doch logisch das es Klartext gespeichert ist, wie sollte es denn sonst auf jedem Gerät wiederhergestellt werden? Mit dem Google Passwort verschlüsseln ist Blödsinn, denn dann müsste das im Klartext bekannt sein (Android arbeitet mit Tokens).
    Ich bin von vornherein davon ausgegangen das es so funktioniert und jeder der mal 3 Sekunden darüber nachgedacht hätte wäre zum selben Schluss gekommen.

  29. Für die Leute, die sich wundern, warum es ein Skandal sei: Passwörter in der Cloud zu speichern ist nichts Neues und hier nicht das Problem. Es geht auch nicht darum, dass ein NSA Mitarbeiter Euch zu Hause besucht und in Euer WLAN kommt (wenn es verschlüsselt ist, hilft das erst einmal auch nicht weiter reinzukommen, weil mitsniffen erst einmal nicht möglich ist).

    Es geht vor allem darum, dass Google diese Daten unverschlüsselt überträgt. Sprich: „jeder“ auf dem Weg kann es mitlesen und das geht gar nicht.

    Der Spiegelbericht sagt ja auch, dass Apple genauso Passwörter speichert. Allerdings werden diese vorab verschlüsselt.
    Damit kommt Apple genauso an die Daten ran, wenn sie wollen. Aber niemand der zwischen Euch und Apple steht.

  30. @Bernd: Ich bin mir nicht sicher, ob Apple die Passwörter entschlüsseln kann. Wenn ich z.B. ein Backup auf einem neuen Device einspiele, dann müssen die Passwörter neu eingegeben werden, auf dem originalen Gerät hingegen nicht. Das spricht dafür, dass diese mit einem hardwarespezifischen AES-Key verschlüsselt und in dieser Form gespeichert werden, was aus meiner Sicht absolut in Ordnung wäre.

    PS: Änderungen wird es diesbezüglich wohl ab iOS 7 geben, da dann der Schlüsselbund auch über die iCloud synchronisiert werden kann. Dann geht es wohl nicht mehr via der Hardware und man muss sich zwischen Sicherheit und Bequemlichkeit entscheiden.

  31. Das wird immer lustiger. Ich würde alle drei Fragezeichen mit ja beantworten. Frage mich nur was Google mit den Passwörtern doch will, die werden doch eh immer mal gewechselt oder gibt es jemanden der das nicht macht? Vielleicht ist es aber auch nur Hetze.

  32. LinuxMcBook says:

    Ernsthaft Leute? Ernsthaft caschy?

    In diesem Blog, in dem sich ja ach so viele selbsternannte „Auskenner“ aufhalten, dauert es fast 30 Kommentare, bis mc-kay mal anmerkt, dass das Problem durch das Konzept „Backup“ bedingt ist?

    Wie sollte das WLAN-Passwort sonst gespeichert werden? Verschlüsselt? Dann müsste Google trotzdem den Key haben.
    Mit dem Googlepasswort? Ja klar, aber wenn ich das Passwort ändere oder vergesse, dann kann ich auf mein Backup nicht mehr zugreifen.
    An die Hardware (spezifischer Key) gebunden? Dann verliert man die Möglichkeit, die Einstellungen auf Smartphone und Tablet zu synchronisieren.

    Also Leute, einfach mal wieder Kopf einschalten und nicht bei jeder Kleinigkeit laut „NSA!“ rufen!

    Mal wieder pure Panikmache für Klicks.

  33. Die ganze Geschichte ist leider sehr spekulativ und wenn man sich den Issue Tracker weiter unten durchließt kommt man auch zu dem Punkt dass Methodik da etwas seltsame Schlüsse gezogen hat.

    1) Der Nutzer richtest das erste Mal sein Gerät mit seinem Google Konto ein und wählt auf Wunsch dass seine Daten, wozu das WLAN Passwort zählt, in der Cloud für spätere Neuinstallationen gesichert werden

    2) Er macht eine neue Installation. Dort muss er sich *erst* bei seinem Google Konto wieder einloggen und dann wird das Backup eingespielt und er wird automatisch mit seinem WLAN verbunden

    Die Daten können also sehr wohl verschlüsselt sein, denn der Nutzer hat sich ja bereits mit seinem Google PW (wahlweise zusätzlich 2-step auth) verifiziert. Ein Skandal ist das bei weitem nicht, das ist nur eine komische Milchmädchenrechnung einer Person die offensichtlich vergessen hat dass er sich bereits ,mit seinem Login als Eigentümer der Daten authentifiziert hat.

  34. @LinuxMcBook: Ganz so einfach ist es nicht! Es gäbe durchaus die Möglichkeit, ein Backup-Kennwort durch den Benutzer festlegen zu lassen, welches nur dieser kennt (und wie es z.B. iTunes vorsieht). Von mir aus auch optional und auf dem Gerät gespeichert, damit automatische Backups durchlaufen. Dieses kann dann für die Verschlüsselung genutzt und muss halt bei der Wiederherstellung angeben werden. Dem Konzept „Backup“ sind solche Verfahrensweisen keinesfalls fremd und schon gar nicht schließt sich Sicherheit in diesem aus!

    Ich gebe dir aber insofern recht, dass hinter diesem wohl eher Gedankenlosigkeit, als eine Böse Absicht steckt, sofern du das gemeint haben solltest.

  35. LinuxMcBook says:

    @Dirk

    Dann hätte man aber im Beitrag darauf verzichten können, wieder lange von der NSA zu schreiben und mal erwähnen, dass die Alternative ein zweites Passwort wäre.

    Und mal ganz ehrlich, mag ja sein, dass iTunes Nutzer das Passwort bei jedem Update brauchen, aber ein Androidnutzer vergisst es garantiert in den zwei Jahren bis er sich ein neues Handy kauft…

  36. Also mal ernsthaft…
    Vor einem Jahr noch ging es hier nur darum wie sicher es ist seine Daten in der Cloud abzuspeichern.
    Und den meisten hier war klar, dass es generell unsicherer ist als auf der heimischen Festplatte.
    Mal ehrlich, vor 10 Jahren hätte man nicht einmal eine verschlüsselte Kennwort Datei auf einen Tripod Space geladen.

    Heute geht es nur noch darum bei welchem Anbieter man dies tut.
    Aber das hier nun ernsthaft als Argument angeführt wird, dass Apple sicherer sei wie Google. *Facepalm*

    Und ja ich bin ein betroffener. Mein W-Lan Kennwort liegt nun wohl auch bei Google.
    Ebenso habe ich Daten an Apple, Microsoft und Dropbox gegeben.

  37. @Georg: ownCloud kennst du aber oder (nicht im bezug auf das wlan-passwort, wer wieder so hohl denkt)?

  38. Paul Mircher says:

    Ich deaktiviere die Speicherfunktion immer auf meinen Android Handy, aber auch wenn Google mein Wlan Passwort hat, interessiert es micht nicht. Viele meiner Kollegen haben das Passwort auch, also kann ich sowieso nicht verhindern das es Google oder Apple bekommt 😀 Als Cloudspeicher habe ich Wuala und halte den auch für genug sicher, zumindest für mich. „Versuche, unwichtig auszusehen, vielleicht haben sie Munitionsmangel.“ 🙂

  39. @LinuxMcBook:

    Nun ja, deshalb hatte ich auch „optional“ geschrieben. Wer sich ein Passwort nicht merken kann und keinen Wert auf Sicherheit legt, der lässt es halt weg.
    Im übrigen sollte man über das Thema Sicherheit und Backup mal in Gänze nachdenken. Nicht selten, dass der Laptop via Bitlocker und was es da sonst noch so alles gibt, minutiös gesichert ist, die Backup-Festplatte hingegen völlig offen im handlichen Format unterm Tisch steht. Teilweise sogar im Büro für jeden offen zugänglich.
    Daran, ggf. auch für Backup-Medium ein Passwort zu vergeben, wird oftmals nicht gedacht. Und wenn dieses durch das Lesen der Kommentare auch nur einer einzigen Person auffällt, hat der Artikel doch einen Sinn ergeben 🙂

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.