Google hat seinen neuen WLAN-Skandal
von caschy | 40 Kommentare
Google hat einen neuen WLAN-Skandal. Hört man Google und WLAN, dann muss man sicherlich erst einmal auf die „zufällig“ mitgeschnittenen Datenfragmente aus offenen Drahtlosnetzwerken denken. Google wurde damals zur Löschung aufgefordert und mit einem Bußgeld belegt. Der neue „Skandal“ betrifft gespeicherte Netzwerk-Passwörter aller drahtlosen Netzwerke, mit denen ihr euch verbunden habt.
[werbung]
Google bietet an, diese auf den Google Servern zu speichern – zu Backup-Zwecken. Während die Übertragung dieser Passwörter verschlüsselt abläuft, soll die Speicherung jedoch unverschlüsselt stattfinden. Das ist für den einzelnen Benutzer vielleicht uninteressant, kann doch kein anderer Benutzer dieses WLAN-Passwort erfahren, der nicht Zugriff auf das Smartphone oder die kompletten Kontodaten hat.
Dennoch ist dieser Umstand in Zeiten von Prism und NSA natürlich anders zu gewichten. Interessant ist dieser Umstand auch, weil Google ansonsten rät, das eigene WLAN -Kennwort nicht aus der Hand zu geben.
Böse Zungen behaupten, dass man dieses als „Wasser predigen und Wein saufen“-Methodik bezeichnet. Den Fehler eingereicht hat übrigens Micah Lee, Chefentwickler bei der US-Bürgerrechtsorganisation EFF. Die Electronic Frontier Foundation (EFF) ist eine im Juli 1990 von John Perry Barlow und Mitchell Kapor gegründete nichtstaatliche Organisation mit Sitz in San Francisco, die sich mit den Bürgerrechten im Cyberspace beschäftigt.
Ziel ist eine mediale Selbstbestimmung des Bürgers. Micah Lee fordert, dass Google die Passwörter verschlüsselt, so wie es auch von Apple gemacht werden soll. Euer Senf! Absicht? Dummheit? Fahrlässigkeit? Eigentlich sollte es ein leichtes sein, die Daten zu verschlüsseln – sollte bei Chrome auch funktionieren.
Wird geladen ...
Das MUSS Absicht sein.. Solch ein Unternehmen, kann sich sowas nicht erlauben.
Ausser es heißt Google?
Irgendwie finde ich es auch immer noch fraglich, dass Google ein so hippes und trendiges Ansehen hat.. Die schaffen es aber wohl durch ihre sehr gute Image Kampagne immer von solchen Meldungen abzulenken..
Aber zunächst muss sich das erstmal alles wirklich bewahrheiten, oder sind das alles harte Fakten?
Absicht? Dummheit? Fahrlässigkeit?
Ja, genau in der Reihenfolge
Jaja, wer dann auch noch WhatsApp benutzt, bei dem ist das riesige Datenschutzdebakel dann perfekt. Sein Verhalten überdenkt aber kaum jemand…
Muss sich wohl erst jemand in einen Transit-Bereich absetzen und darüber reden 😉
Ich nehme mal stark an, dass das von Anfang an so beabsichtigt war. Google muss ja heutzutage auch irgendwie extern ohne die Erlaubnis der User auf die Daten zugreifen können und dazu intern noch eine Verschlüsselung zu knacken wäre einfach viel zu Umständlich und leistungsverschwendend für die Server…
Sensible Daten speicher ich nie auf fremden Server. Und schon gar nicht in den USA.
Kann nur Absicht sein. Die Daten einfach mit dem Google Kontopasswort zu verschlüsseln wäre ein Leichtes gewesen und in wenigen Minuten programmiert.
Es gibt in jeder modernen Entwicklungsumgebung Routinen, die checken ob externer Datenverkehr über sichere Verbindungen (ssh, https) läuft. Ich muss fast an Absicht glauben.
ABER: was bringt das denn? Die Geheimdienste kommen eh an die Passwörter, wenn Snowden Recht hat. Also warum sollte Google dann nicht verschlüsseln? Google hat die Daten ohnehin, egal wie.
Finde das äußerst seltsam.
Besondern lustig ist, dass bei der Großzahl der Unternehmen die Logins für die WLANs auch die Firmenlogins sind. Ein Schelm wer hier an Wirtschaftsspionage denkt. 😉
Das ist natürlich ein Fehler, der bis dato niemandem aufgefallen ist. Ebenso wie die eingangs erwähnte massenweise Speicherung der WLAN Daten. Oder die Tatsache, dass Facebook die Daten deines Adressbuchs beim Appstart überträgt, obwohl dem widersprochen wurde. Wer würde das schon absichtlich machen? Abwegig!
#nicht
„Einstellungen -> Sichern & zurücksetzen -> Meine Daten sichern“
ausmachen und gut ist. Wenn man root Zugriff aufs System hat, sieht man, dass die Passwörter da ja auch unverschlüsselt gespeichert werden. Ich denke da liegt schon das Problem.
Woher weiß Lee, dass die Daten im Klartext gespeichert werden?
@bMike, wenn die PWDs nicht verschlüsselt gespeichert würden, müßtest du bei jedem WLAN-Connect ein PWD eingeben, entweder das zum Entschlüsseln oder halt das für’s WLAN selber.
Macht mir persönlich nix, mein WLAN ist offen, die Sicherung beginnt dahinter, kann also trotzdem keiner was mit anfangen, ausser vielleicht ein paar MACs zu sniffen.
Wer seine WLAN-Passwörter in die Cloud hochlädt, ist selber schuld. Und niemand wird gezwungen, diese Funktion zu benutzen.
@Mike nein falsch verstanden. In deinem Filesystem bzw. android ist eine Datei welche die Wlan Konfigurationen deiner bekannten APs als Klartext enthält. Das ist mein Problem 😉
guck nal unter /data/misc/wifi/wpa_supplicant.conf
mit nem Texteditor öffnen und du siehst was ich meine.
Also die Einstellung von oben deaktivieren und WPA key ändern.
@bMike
wenn du dein Handy verlierst hast auch ein Sicherheitsloch…
@Andy ja leider. Gibt ja noch Vollverschlüsselung. Dann isses wenigstens nicht ganz so einfach.
Irgendwie stehe ich da ein wenig auf dem Schlauch. Es ist zwar unschön, die Daten im Klartext abzulegen, nur müssen diese doch in jedem Fall entschlüsselt werden, um das Passwort für die Anmeldung verwenden zu können. Wenn Google diese mit einem Account-spezifischen Key verschlüsselt, dann kommen sie doch so oder so an die Information. Erfolgt die Verschlüsselung auf dem Device, dann bringt das Backup nicht viel, jedenfalls nicht bei einer Wiederherstellung auf einem Austauschgerät. Ein ähnliches Henne/Ei Problem hatten wir mal in der Firma und haben dass dann so gelöst, dass der eigentliche Key (in unserem Fall AES) in einem Container liegt, der dann durch ein weiteres Passwort auf einem anderen Device wieder recovert werden kann.
Google sollte also zusätzlich das gesamte Backup mit einem Passwort sichern, dass nur der Benutzer kennt und auch nicht der normalen Anmeldung dient, also nur auf dem Device genutzt wird.
Bei einem Unternehmen in der Größe und mit derartig großer Marktdurchdringung bei internetbezogenen Dienstleistungen kann ich mir leider auch nicht wirklich vorstellen, dass es sich bei diesem Vorgang um ein Versehen oder einen Fehler handelt.
Wobei ich gar nicht weiß, was schlimmer wäre:
-> die Tatsache, dass WLAN Passwörter absichtlich im Klartext protokolliert werden
oder
-> die Tatsache, dass Google ein derartiger Fehler (sofern unabsichtlich geschehen) unterläuft und dieser so lange nicht bemerkt wird
leicht OT:
Ich benutze auch Android und hatte bis vor gut einer Woche auch einige Google Dienst in Benutzung (Suche/Mail/Kalender/Maps etc.). Im Zuge der Enthüllungen bezüglich der Datenschnüffelei us-amerikanischer Geheimdienst habe ich mich dann allerdings entschlossen Google den Rücken zu kehren.
Auf meinem Smartphone lief sowieso schon länger Cyanogenmod, jedoch mit nachinstallierten Google Apps. Also habe ich um ganz sicher zu gehen, die aktuellste für mein Smartphone verfügbare Version von Cyanogenmod neu installiert.
Mail, Kalender und Kontakte liegen nun auf einem gemieteten Exchange Server eines deutschen Anbieters mit dem sich mein Smartphone verbindet. Apps beziehe ich per F-Droid und ein paar vereinzelte direkt vom App Hersteller.
Ich bin mir auch vollkommen im klaren darüber, dass mich diese Maßnahme nicht wirklich gegen PRISM und dergleichen absichert, jedoch fühle ich mich sicherer mit dem Gedanken, dass meine Daten nun im Wirkungskreis der deutschen Datenschutzbestimmungen liegen.
@bMike, ja, sorry, das meinte ich ja. Natürlich sind die unverschlüsselt gespeichert, sonst müßtest du sie ja bei jeder Verwendung entschlüsseln. Um den Komfort halbwegs zu gewährleisten, ginge das nur mittels PWD für den Google-Account, wäre also nix gewonnen.
@ChackZz…jede sms die du versendest bleibt auf dem server des providers gespeichert und wird bei richterlichem beschluss den behörden überreicht…genauso sieht es mit jedem erhältlichen messenger aus…sogar dein kommentar hier speichert deine ip adresse und du bist für die behörden jederzeit identifizierbar…also lautet die einzige möglichkeit es den russen gleichzutun und nur noch offline zu arbeiten, egal ob telefon, handy, internet..alles ist abhörbar…briefe werden von der post durchleuchtet, etc.pp…wenn du noch nicht verstanden hast, das man der überwachung wenn überhaupt nur durch persönliche treffen umgehen kann (und selbst da nur an wenigen plätzen weil überall kameras und richtmikrofone stehen), dann bist du auch nicht weniger naiv als whatsapp-nutzer
Was bitte soll denn serverseitige Verschlüsselung in Zeiten von Prism noch wert sein? Vor „normalen“ Angreifern auf Google-Servern hätte ich nicht allzuviel Sorge, vor denen kann sich Google auch ohne Verschlüsselung schützen. Wenn die Verschlüsselung nicht auf dem Client erfolgt, den man selbst kontrolliert, ist „Verschlüsselung“ doch nur Augenwischerei und Marketing.