Nieuws

Android back-up stuurt WiFi-wachtwoord naar Google

donderdag 18 juli 2013, 12:21 door Redactie, 13 reacties

Android-gebruikers die online een back-up van hun gegevens maken sturen ook hun WiFi-wachtwoorden naar Google. De "Backup my data' optie op Android-tablets en smartphones bevat onder andere WiFi-wachtwoorden in platte tekst. Iets wat al geruime tijd bekend is, maar in het licht van recente onthullingen over de praktijken van de NSA sommige bedrijven niet lekker zal zitten.

De back-upfunctie staat op Nexus-toestellen standaard ingeschakeld, zonder dat er een wachtwoord of andere gegevens vereist zijn. Het Duitse Heise deed een test waarbij het de fabrieksinstellingen van een toestel terugzette en daarna met een Google-account synchroniseerde. Het apparaat wist meteen met het testnetwerk verbinding te maken.

Spionage
Iedereen met toegang tot een Google-account heeft vervolgens ook toegang tot de opgeslagen WiFi-wachtwoorden, zo concluderen de Duitse onderzoekers. "Gegeven dat Google een database van WiFi-netwerken over de hele wereld beheert voor positiebepalingen, is dit op zich reden tot zorgen, aangezien de back-up betekent dat het ook de wachtwoorden voor deze netwerken heeft."

"Gezien hoe genereus Google gegevens met de NSA deelt, is dit nog verontrustender", gaan de onderzoekers verder. "De NSA beperkt zichzelf niet tot het bestrijden van terrorisme, maar is ook betrokken bij industriële spionage." De onderzoekers waarschuwen dat het wachtwoord-lek vooral voor bedrijven gevolgen kan hebben.

Inmiddels hebben sommige Duitse universiteiten maatregelen genomen en stellen dat het verboden voor gebruikers is om wachtwoorden naar derde partijen door te sturen, zelfs als dit automatisch gebeurt.

Met dank aan Henk voor de tip

Minister: ambtenaren niet bewust van spionage

Experts gaan smartphone 'kill-switch' testen

Reacties (13)

18-07-2013, 12:47 door schele

Inderdaad, nog niet bij stil gestaan maar bij nader inzien logisch gevolg. Gelukkig heb ik die "backup to my google account" altijd uit staan maar toch. Een vriend vertelde me laatst nog hoe trots tie was dat ie na aanschaf nieuwe phone zn google account maar in hoefde te geven en al z'n apps stonden er een half uur later weer op.

Het idee dat google de inhoud van alles wat in die backup zit indexeert en wat dat precies inhoudt dringt gewoon niet door bij merendeel van de mensen.

18-07-2013, 13:20 door freediver

Door schele: Inderdaad, nog niet bij stil gestaan maar bij nader inzien logisch gevolg. Gelukkig heb ik die "backup to my google account" altijd uit staan maar toch. Een vriend vertelde me laatst nog hoe trots tie was dat ie na aanschaf nieuwe phone zn google account maar in hoefde te geven en al z'n apps stonden er een half uur later weer op.

Het idee dat google de inhoud van alles wat in die backup zit indexeert en wat dat precies inhoudt dringt gewoon niet door bij merendeel van de mensen.

Zal wel zoiets zijn als dat spreekwoord...: " In het land der blinden is een-oog koning.". Ik denk dat het wel doordringt bij de helft van de de mensen als je het tegen ze zegt, maar ze vergeten het gewoon weer net zo snel omdat het niet interssant is, omdat ze er niks van merken en ze het niet persoonlijk raakt, of ze hebben te weinig fantasie in hun gemakkelijke leventje met al die apps enzo.

18-07-2013, 13:24 door freediver

gewoon google af en alternatief gebruiken. Ik denk dan aan lokale IT mogelijkheden bij een kleine firma.

18-07-2013, 13:30 door Briolet

Ik denk dat het wifi wachtwoord de minste zorg is van alle wachtwoorden die je opslaat in Google. Voor wifi toegang moet je eerst physiek in de buurt van de zender staan, en dan kun je nog alleen het internet op. Van alle computers en servers op het interne netwerk mag je verwachten dat daar weer eigen wachtwoorden nodig zijn.

18-07-2013, 13:54 door Anoniem

Met een nieuwe smartphone en wifi toegang kun je inderdaad meestal alleen naar internet. Maar als je een laptop voorziet van de wifi toegang zit je volwaardig op het netwerk. En daar kun je weer andere berichten rondsturen waardoor alle computers via jouw 'sniffer' i.p.v. de router communiceren .
Vooral als de NSA extra interesse heeft in een bepaald bedrijf dan hoeven ze alleen maar een busje voor de deur te zetten.

18-07-2013, 15:00 door Anoniem

Door Briolet: Ik denk dat het wifi wachtwoord de minste zorg is van alle wachtwoorden die je opslaat in Google. Voor wifi toegang moet je eerst physiek in de buurt van de zender staan, en dan kun je nog alleen het internet op. Van alle computers en servers op het interne netwerk mag je verwachten dat daar weer eigen wachtwoorden nodig zijn.

Ik denk dat je het beveiligingsniveau en bewustzijn van de 'burgers' zwaar overschat. Ik zet niet op elke server in mijn eigen LAN een wachtwoord. Ik kijk wel uit. Kan ik om de haverklap opdraven omdat vrouw of kinderen niet kunnen printen of video kijken. Dus toegang tot Wifi is min of meer toegang tot LAN en alles wat daar aan vast hangt. En ik zal niet de enige zijn - ik kan me niet voorstellen dat Henk en Ingrid hun windows shares netjes met een wachtwoord beveiligen...

18-07-2013, 15:11 door spatieman

goh, geen wonder dat google zo graag wifi netwerken zat te sniffen tijdens hun ritjes met hun wagens tijdens googlestreeview en co.

18-07-2013, 15:50 door [Account Verwijderd]

[Verwijderd]

18-07-2013, 16:29 door Anoniem

"Inmiddels hebben sommige Duitse universiteiten maatregelen genomen en stellen dat het verboden voor gebruikers is om wachtwoorden naar derde partijen door te sturen, zelfs als dit automatisch gebeurt. "

Hoe wil men zo'n verbod handhaven, wanneer de wachtwoorden automatisch worden doorgestuurd ? Moet de gebruiker de programmatuur gaan aanpassen ofzo ? Verder klinkt dit als het neerleggen van de verantwoording bij de gebruiker, i.p.v. het zorgen voor de juiste controls om dit soort zaken te voorkomen.

18-07-2013, 21:07 door Paul1983

Google maakt een backup zodat je makkelijker je apps en instellingen terug kan zetten na een factory reset. Dus is het logisch dat daar ook je wifi wachtwoord bij zit.

18-07-2013, 21:24 door Briolet

Door Paul1983: Google maakt een backup zodat je makkelijker je apps en instellingen terug kan zetten na een factory reset. Dus is het logisch dat daar ook je wifi wachtwoord bij zit.

Precies, van een backup verwacht je dat hij alles backupt. Het probleem is dat het wachtwoord om te beginnen als platte tekst op je Android systeem opgeslagen wordt. Dat maakt het niet alleen toegankelijk voor backups, maar ook voor malware.

ik kan me niet voorstellen dat Henk en Ingrid hun windows shares netjes met een wachtwoord beveiligen...

Ik weet te weinig van windows. Ik ben al 10 jaar gewend dat je altijd een account met wachtwoord moet aanmaken voor computer toegang. (Mac) En dan heb je datzelfde account en wachtwoord ook nodig om via het netwerk bij je shares te komen.

19-07-2013, 01:48 door WesleySmalls

Beetje slechte titel. Dat google je Wifi wachtwoord back-upt is al lang bekend, in ieder geval bij mij wel, ik kwam er achter toen ik een jaar geleden een factory reset deed en ik al met Wifi verbonden was zonder een password in te voeren.

Dat het in platte tekst word opgeslagen, dat is dan wel nieuw. Het is een aandachtspuntje, maar niet echt een rampscenario ofzo.

22-07-2013, 13:59 door Joep Lunaar

Aansluitend op @WesleySmalls die meldde dat dit geen nieuws is:

Indien de backupgegevens, inclusief de vermaledijde wifi wachtwoorden, over een onversleutelde verbinding naar Google zouden worden verstuurd is er een risico dat onbevoegden anders dan Google daarvan kennis nemen, maar vziw is die verbinding versleuteld.
Pas indien ook de gegevens zelf onversleuteld (ongeacht of de verbinding versleuteld is) naar Google worden verstuurd kan die daar in potentie bij. Indien Google de gegevens dan ook nog eens onversleuteld op zou slaan, bestaat er een kans dat bij een (niet zeer waarschijnlijke) inbreuk op de beveiliging bij Google onbevoegde derden bij de gegevens kunnen.
Mogelijk zijn de gegevens op de telefoon, althans de gevoelige daarvan, al versleuteld met een van het wachtwoord voor het Google account afgeleide sleutel en dan kan Google wanneer die van de account wachtwoorden alleen (salted) hashes opslaat zelf ook niet bij die gegevens. Dit zou de koninklijke weg zijn.

Vaak is Google wel netjes, dus ... een goede vraag is hoe de backup dienst werkelijk werkt alvorens te oordelen en te veroordelen. Van Google dat in potentie veel kwaad kan doen zijn nauwelijks gedragingen bekend die zondermeer het bedrijf in een kwaad daglicht zetten. Het is dus wel oppassen geblazen, maar anders dan Microsoft vertoont Google weinig gedragingen die zondermeer als kwalijk of boeverig kunnen worden betiteld (zie groklaw.org).

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer