Google hat seinen neuen WLAN-Skandal
von caschy | 40 Kommentare
Google hat einen neuen WLAN-Skandal. Hört man Google und WLAN, dann muss man sicherlich erst einmal auf die „zufällig“ mitgeschnittenen Datenfragmente aus offenen Drahtlosnetzwerken denken. Google wurde damals zur Löschung aufgefordert und mit einem Bußgeld belegt. Der neue „Skandal“ betrifft gespeicherte Netzwerk-Passwörter aller drahtlosen Netzwerke, mit denen ihr euch verbunden habt.
[werbung]
Google bietet an, diese auf den Google Servern zu speichern – zu Backup-Zwecken. Während die Übertragung dieser Passwörter verschlüsselt abläuft, soll die Speicherung jedoch unverschlüsselt stattfinden. Das ist für den einzelnen Benutzer vielleicht uninteressant, kann doch kein anderer Benutzer dieses WLAN-Passwort erfahren, der nicht Zugriff auf das Smartphone oder die kompletten Kontodaten hat.
Dennoch ist dieser Umstand in Zeiten von Prism und NSA natürlich anders zu gewichten. Interessant ist dieser Umstand auch, weil Google ansonsten rät, das eigene WLAN -Kennwort nicht aus der Hand zu geben.
Böse Zungen behaupten, dass man dieses als „Wasser predigen und Wein saufen“-Methodik bezeichnet. Den Fehler eingereicht hat übrigens Micah Lee, Chefentwickler bei der US-Bürgerrechtsorganisation EFF. Die Electronic Frontier Foundation (EFF) ist eine im Juli 1990 von John Perry Barlow und Mitchell Kapor gegründete nichtstaatliche Organisation mit Sitz in San Francisco, die sich mit den Bürgerrechten im Cyberspace beschäftigt.
Ziel ist eine mediale Selbstbestimmung des Bürgers. Micah Lee fordert, dass Google die Passwörter verschlüsselt, so wie es auch von Apple gemacht werden soll. Euer Senf! Absicht? Dummheit? Fahrlässigkeit? Eigentlich sollte es ein leichtes sein, die Daten zu verschlüsseln – sollte bei Chrome auch funktionieren.
Wird geladen ...
Warum berichtet die Bild noch nicht darüber? 🙂 Sollte doch ein gefundenes Fressen sein…
@LH: Im Grunde genügt ein einfaches „kontrollieren“ auch nicht. Du müsstest dich bereits auf die zugrunde liegende Hardware verlassen können. Hast du bspw. eine Intel CPU mit AES-Befehlssatzerweiterung kannst du der schon nicht vertrauen. Du müsstest für die Verschlüsselung also bereits auf Software zurückgreifen, die diese Erweiterung nicht nutzt (oder die Möglichkeit bietet, explizit nicht auf diese zurückzugreifen). Du bräuchtest daher am besten also schon Open Hardware als Grundlage für alles weitere. Auf Funkmäuse und Tastaturen verzichtest du am besten auch. Und verhindere, dass deine Bildschirmstrahlung sich großartig ausbreitet. Am besten das alles noch in einem schallisolierten Raum, damit die Anschlaggeräusche der Tastatur nicht aufgezeichnet werden können. Webcam und Mikrofon? Weg damit! Im Optimalfall versorgst du deinen Rechner auch noch mit Strom aus einem gesonderten Stromkreis.
Das Netzwerk-Passwort verschlüsselt doch nur vom Endgerät bis zum Router. Für Google macht es keinen Unterschied, ob ich eine Suchanfrage über ein unverschlüsseltes oder verschlüsseltes WLAN absende, die Daten kommen bei Google sowieso im Klartext an.
Was kann Google also mit meinem Netzwerkpasswort anstellen? Mich zu Hause besuchen und meinen Traffic mitschneiden oder heimlich über meine Internetverbindung surfen? Oder einen NSA-Mitarbeiter schicken, der dann vor meiner Haustür campt? Ne, so paranoid bin ich dann doch noch nicht.
Ein Skandal wäre es, wenn die Passwörter geleakt worden wären. Wären sie verschlüsselt, wüsste Google auch, wie man wieder entschlüsselt und die NSA wahrscheinlich auch, denn auf Verschlüsselung auf Unternehmensseite ist kein Verlass; die NSA muss nur ein bisschen Druck ausüben, um an die Daten zu kommen.
Finde es unglaublich nach den ganzen Skandalen gibt es immer noch viele die gerne und mit überzeugung Google/Android nutzen weil die Firma ja gut ist und nie etwas böses machen würde….
Ich verstehe garnicht, wie Google das überthaupt nutzen sollte? Die fahren sicher nicht aufs land und sniffen da in meinem wlan, in der stadt werden sie sich auch hüten, wurden ja letztens zurechtgewiesen. ich kann mir vorstellen dass das backupo dort einfach die „wichtigsten“ settingdateien von oder zu den google servern holt, und um darauf zugriff zu haben braucht man ja auch das pw, also wird das keine sicherheitslücke sein!
Das dürfe auch daran liegen, dass es keine wirkliche Alternative gibt.
Solange sich die Google-Mitarbeiter sich nicht selbst in den A****sch schauen kann, sollen die es auch nicht bei mir machen können. Es nervt unerträglich, dieser bewusst fahrlässige Umgang mit unseren Daten.
Arbeiten in den großen Unternehmen eigentlich nur Arschlöcher? Wir alle schimpfen auf die Firmen wenn solch eine Schweinerei herrauskommt, tatsächlich aber sind es die Entwickler, die den Mist umsetzen. Entweder haben die alle keinen Arsch in der Hose sich mal zusammenzusetzen und gegen Entscheidungen aus der oberen Etage vorzugehen, oder es arbeiten dort wirklich nur Eierköpfe die nicht bis zur nächsten Ecke denken können um die zukünftigen Konsequenzen zu erkennen.
Hatte die letzten Tagen ernsthaft überlegt mir mal wieder einen Androiden zuzulegen. Die können sich mal gehackt legen…Interessiert Google aber wohl herzlich wenig, die haben eh schon meine kompletten Daten.
Hä, ist doch logisch das es Klartext gespeichert ist, wie sollte es denn sonst auf jedem Gerät wiederhergestellt werden? Mit dem Google Passwort verschlüsseln ist Blödsinn, denn dann müsste das im Klartext bekannt sein (Android arbeitet mit Tokens).
Ich bin von vornherein davon ausgegangen das es so funktioniert und jeder der mal 3 Sekunden darüber nachgedacht hätte wäre zum selben Schluss gekommen.
Für die Leute, die sich wundern, warum es ein Skandal sei: Passwörter in der Cloud zu speichern ist nichts Neues und hier nicht das Problem. Es geht auch nicht darum, dass ein NSA Mitarbeiter Euch zu Hause besucht und in Euer WLAN kommt (wenn es verschlüsselt ist, hilft das erst einmal auch nicht weiter reinzukommen, weil mitsniffen erst einmal nicht möglich ist).
Es geht vor allem darum, dass Google diese Daten unverschlüsselt überträgt. Sprich: „jeder“ auf dem Weg kann es mitlesen und das geht gar nicht.
Der Spiegelbericht sagt ja auch, dass Apple genauso Passwörter speichert. Allerdings werden diese vorab verschlüsselt.
Damit kommt Apple genauso an die Daten ran, wenn sie wollen. Aber niemand der zwischen Euch und Apple steht.
@Bernd: Ich bin mir nicht sicher, ob Apple die Passwörter entschlüsseln kann. Wenn ich z.B. ein Backup auf einem neuen Device einspiele, dann müssen die Passwörter neu eingegeben werden, auf dem originalen Gerät hingegen nicht. Das spricht dafür, dass diese mit einem hardwarespezifischen AES-Key verschlüsselt und in dieser Form gespeichert werden, was aus meiner Sicht absolut in Ordnung wäre.
PS: Änderungen wird es diesbezüglich wohl ab iOS 7 geben, da dann der Schlüsselbund auch über die iCloud synchronisiert werden kann. Dann geht es wohl nicht mehr via der Hardware und man muss sich zwischen Sicherheit und Bequemlichkeit entscheiden.
Das wird immer lustiger. Ich würde alle drei Fragezeichen mit ja beantworten. Frage mich nur was Google mit den Passwörtern doch will, die werden doch eh immer mal gewechselt oder gibt es jemanden der das nicht macht? Vielleicht ist es aber auch nur Hetze.
Ernsthaft Leute? Ernsthaft caschy?
In diesem Blog, in dem sich ja ach so viele selbsternannte „Auskenner“ aufhalten, dauert es fast 30 Kommentare, bis mc-kay mal anmerkt, dass das Problem durch das Konzept „Backup“ bedingt ist?
Wie sollte das WLAN-Passwort sonst gespeichert werden? Verschlüsselt? Dann müsste Google trotzdem den Key haben.
Mit dem Googlepasswort? Ja klar, aber wenn ich das Passwort ändere oder vergesse, dann kann ich auf mein Backup nicht mehr zugreifen.
An die Hardware (spezifischer Key) gebunden? Dann verliert man die Möglichkeit, die Einstellungen auf Smartphone und Tablet zu synchronisieren.
Also Leute, einfach mal wieder Kopf einschalten und nicht bei jeder Kleinigkeit laut „NSA!“ rufen!
Mal wieder pure Panikmache für Klicks.
Die ganze Geschichte ist leider sehr spekulativ und wenn man sich den Issue Tracker weiter unten durchließt kommt man auch zu dem Punkt dass Methodik da etwas seltsame Schlüsse gezogen hat.
1) Der Nutzer richtest das erste Mal sein Gerät mit seinem Google Konto ein und wählt auf Wunsch dass seine Daten, wozu das WLAN Passwort zählt, in der Cloud für spätere Neuinstallationen gesichert werden
2) Er macht eine neue Installation. Dort muss er sich *erst* bei seinem Google Konto wieder einloggen und dann wird das Backup eingespielt und er wird automatisch mit seinem WLAN verbunden
Die Daten können also sehr wohl verschlüsselt sein, denn der Nutzer hat sich ja bereits mit seinem Google PW (wahlweise zusätzlich 2-step auth) verifiziert. Ein Skandal ist das bei weitem nicht, das ist nur eine komische Milchmädchenrechnung einer Person die offensichtlich vergessen hat dass er sich bereits ,mit seinem Login als Eigentümer der Daten authentifiziert hat.
@LinuxMcBook: Ganz so einfach ist es nicht! Es gäbe durchaus die Möglichkeit, ein Backup-Kennwort durch den Benutzer festlegen zu lassen, welches nur dieser kennt (und wie es z.B. iTunes vorsieht). Von mir aus auch optional und auf dem Gerät gespeichert, damit automatische Backups durchlaufen. Dieses kann dann für die Verschlüsselung genutzt und muss halt bei der Wiederherstellung angeben werden. Dem Konzept „Backup“ sind solche Verfahrensweisen keinesfalls fremd und schon gar nicht schließt sich Sicherheit in diesem aus!
Ich gebe dir aber insofern recht, dass hinter diesem wohl eher Gedankenlosigkeit, als eine Böse Absicht steckt, sofern du das gemeint haben solltest.
@Dirk
Dann hätte man aber im Beitrag darauf verzichten können, wieder lange von der NSA zu schreiben und mal erwähnen, dass die Alternative ein zweites Passwort wäre.
Und mal ganz ehrlich, mag ja sein, dass iTunes Nutzer das Passwort bei jedem Update brauchen, aber ein Androidnutzer vergisst es garantiert in den zwei Jahren bis er sich ein neues Handy kauft…
Also mal ernsthaft…
Vor einem Jahr noch ging es hier nur darum wie sicher es ist seine Daten in der Cloud abzuspeichern.
Und den meisten hier war klar, dass es generell unsicherer ist als auf der heimischen Festplatte.
Mal ehrlich, vor 10 Jahren hätte man nicht einmal eine verschlüsselte Kennwort Datei auf einen Tripod Space geladen.
Heute geht es nur noch darum bei welchem Anbieter man dies tut.
Aber das hier nun ernsthaft als Argument angeführt wird, dass Apple sicherer sei wie Google. *Facepalm*
Und ja ich bin ein betroffener. Mein W-Lan Kennwort liegt nun wohl auch bei Google.
Ebenso habe ich Daten an Apple, Microsoft und Dropbox gegeben.
@Georg: ownCloud kennst du aber oder (nicht im bezug auf das wlan-passwort, wer wieder so hohl denkt)?
Ich deaktiviere die Speicherfunktion immer auf meinen Android Handy, aber auch wenn Google mein Wlan Passwort hat, interessiert es micht nicht. Viele meiner Kollegen haben das Passwort auch, also kann ich sowieso nicht verhindern das es Google oder Apple bekommt 😀 Als Cloudspeicher habe ich Wuala und halte den auch für genug sicher, zumindest für mich. „Versuche, unwichtig auszusehen, vielleicht haben sie Munitionsmangel.“ 🙂
@LinuxMcBook:
Nun ja, deshalb hatte ich auch „optional“ geschrieben. Wer sich ein Passwort nicht merken kann und keinen Wert auf Sicherheit legt, der lässt es halt weg.
Im übrigen sollte man über das Thema Sicherheit und Backup mal in Gänze nachdenken. Nicht selten, dass der Laptop via Bitlocker und was es da sonst noch so alles gibt, minutiös gesichert ist, die Backup-Festplatte hingegen völlig offen im handlichen Format unterm Tisch steht. Teilweise sogar im Büro für jeden offen zugänglich.
Daran, ggf. auch für Backup-Medium ein Passwort zu vergeben, wird oftmals nicht gedacht. Und wenn dieses durch das Lesen der Kommentare auch nur einer einzigen Person auffällt, hat der Artikel doch einen Sinn ergeben 🙂