Android: Speichert Google W-LAN-Passwörter (schon lange) unverschlüsselt?

lg_nexus_header

Na da hat man bei Heise ja ein Ding ausgegraben, welches dank Sommerloch und NSA-Skandal heute etwas umfangreicher die Runde macht. Unter dem Motto „Offene Türen für Spionage“ berichtet man, dass Google W-LAN-Passwörter unverschlüsselt speichert und zwar dann, wenn das eigene Android-Gerät eine Sicherung der Daten über die Google Cloud vornimmt. Dort heißt es:

In Tests von heise Security konnte sich denn auch ein auf Werkseinstellungen zurückgesetztes Android-Smartphone sofort nach der Synchronisierung mit einem Google-Account in ein WPA2-gesichertes Heise-Testnetz einbuchen. Jeder der Zugang zu dem Google-Account hat, kommt folglich auch an das WLAN-Passwort.

Ich weiß jetzt nicht, ob ich was nicht mitbekommen habe, aber das geht bei mir schon ewig so mit diversen Androiden. Wer sein Gerät aus der Google-Cloud wiederherstellt, der gleicht auch die W-LAN-Passwörter mit ab. Die Sicherung ist nicht automatisch aktiv, sondern wird bei der Ersteinrichtung eines Android-Gerätes angeboten. Heise bezieht sich zudem auf einen Fehlerbericht und gibt auch richtig an, dass für das Einspielen solch eines Backups der volle Zugang zum entsprechenden Google-Account notwendig ist. Für die Behauptung:

Mit „Meine Daten sichern“ speichert Android unter anderem WLAN-Passwörter im Klartext bei Google.

… liefert Heise leider keinen Beleg und auch das Wühlen durch diverse Foren und Co. hat mich da nicht weitergebracht. Ich kann mir schwer vorstellen, dass Google die Passwörter aus dem Backup im Klartext überträgt und speichert. Auf dem Gerät selbst liegen diese unverschlüsselt unter „wpa_supplicant.conf“ im „/data/misc/wifi/“, so zumindest liest man an diversen Ecken.

Das Thema macht heute die Runde, so richtig sicher und vor allem sachlich belegt wird es leider kaum. Ich stachel euch mal als Community an, wenn ihr mehr Infos oder andere bzw. neue Quellen habt, meldet euch doch in den Kommentaren.

Teilen

Hinterlasse deine Meinung
Du kannst auch als Gast kommentieren (Anleitung). DISQUS respektiert „Do Not Track“ und bietet einen Datenschutz-Modus an. Informationen zum Datenschutz auf mobiFlip.de findest du hier.