Der Wechsel zwischen zwei Android-Geräten ist dank der in das Betriebssystem integrierten Backup-Funktion sehr komfortabel und erfordert nur wenige Schritte zur vollständigen Einrichtung. Dabei werden auch WLAN-Passwörter auf Googles Server gespeichert, so dass Google theoretisch über die Zugangsdaten nahezu aller WLAN-Netzwerke weltweit verfügt.
Seit der Android-Version 2.2 ist die Backup-Funktion des Betriebssystems standardmäßig aktiviert und bringt dem Nutzern so mehr Komfort beim Wechsel oder Reset des Android-Smartphones. Wie einige Blogger und Sicherheitsforscher nun herausgefunden haben, werden die dabei ebenfalls gespeicherten WLAN-Zugangsdaten aber ohne größere Verschlüsselung auf den Google-Servern gespeichert.
Direkt nach dem ersten Login in den Google-Account mit einem neuen bzw. zurückgesetzten Smartphone werden alle Zugangsdaten zu WLAN-Netzwerken wiederhergestellt. Dabei werden die Zugangsdaten für jedes Netzwerk in dass man sich jemals mit dem Android-Gerät eingeloggt hat gespeichert und wieder auf das Gerät geladen. Eine erneute Eingabe des Passworts ist dann nicht mehr nötig.
Nun ist das natürlich eine gute Sache und Google genießt von einem Großteil der Nutzer vollstes Vertrauen, so dass sich kaum jemand Gedanken darüber macht, dass nun auch das Unternehmen die Zugangsdaten für das private Heimnetzwerk oder auch das Firmennetzwerk besitzt. Laut Berichten sind diese Passwörter zwar verschlüsselt gespeichert, benötigen aber zur Entschlüsselung nur die Zugangsdaten des Accounts – über die Google ebenfalls verfügt.
Den autorisierten Google-Mitarbeitern ist es, so die Berichte, möglich diese Zugangsdaten auszulesen und sich so praktisch weltweit in nahezu jedes WLAN-Netzwerk einzuloggen ohne irgendwelche Passwörter knacken zu müssen. Angesichts der Verbreitung von Android-Smartphones und Tablets dürfte es weltweit wohl kaum ein Netzwerk geben in dem sich noch nie ein Android-Gerät eingeloggt hat.
NSA könnte von Google WLAN-Passwörter anfordern
Brisant wird die ganze Story nun vor allem durch den NSA-Skandal. Der amerikanische Geheimdienst kann bekanntlich beliebige Daten von dem Unternehmen anfordern und sich so auch Zugangsdaten zu WLAN-Netzwerken auf direktem Wege besorgen. Ob dies in der Vergangenheit bereits geschehen ist, ist natürlich nicht bekannt.
Doch die Gefahr ist nicht unbedingt dass eine unberechtigte Person auf die eigenen Kosten mitsurft, sondern dass jedes Gerät im WLAN-Netzwerk auch eingeschränkte Zugriffe auf alle anderen Geräte hat. Und wer sich einmal in einem privaten Netzwerk befindet, kann sich mit diversen Hacker-Mitteln auch den Vollzugriff auf andere Geräte erschleichen. Die größere Hürde, das hacken des Netzwerks, fällt ja weg.
Wie kann die Speicherung verhindert werden?
Knappe Antwort: Eigentlich gar nicht.
Der Backup der Daten kann ganz leicht im Menü Einstellungen->Backup and Reset deaktiviert werden. Google verspricht, dass daraufhin auch alle bisher gespeicherten Daten inklusive der Passwörter vom Server gelöscht werden. Aber natürlich nutzt es nichts wenn User A die Daten löscht und User B, der sich im gleichen Netzwerk bewegt, die Backup-Funktion weiterhin aktiv hat – dann hat Google die Daten noch immer.
Man kann also nur sicher stellen, dass alle Nutzer die über die Zugangsdaten für das eigene WLAN-Netzwerk verfügen die Backup-Funktion deaktiviert haben. Die Passwörter werden aber weiterhin auf dem Gerät gespeichert und wenn Person X die Backup-Funktion dann Monate später wieder aktiviert, ist das Passwort schon wieder in Mountain View gelandet.
Die einzige Möglichkeit die bleibt, ist das Passwort immer wieder zu ändern. Wenig komfortabel, aber dafür sicher.