DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Android 5.0 bietet Full-Disk-Verschlüsselung, doch es gibt Hintertüren.
Android 5.0 bietet Full-Disk-Verschlüsselung, doch es gibt Hintertüren.
Bild: Eric Risberg/AP/KEYSTONE

Wir dachten, Android-Handys seien so sicher verschlüsselt wie das iPhone – und nun das ...

Bei vielen Android-Geräten soll sich die Full-Disk-Verschlüsselung aushebeln lassen.
05.07.2016, 11:0205.07.2016, 11:28

«Wo liegt das Problem? Ich habe nichts zu verbergen.»

Angesichts der jüngsten beunruhigenden Nachrichten zum Smartphone-Betriebssystem Android häufen sich wieder mal die Kommentare von Usern, die behaupten, dass ihnen die sichere Verschlüsselung der Daten nicht so wichtig sei. 

Doch es gibt ein Problem – und zwar ein ziemlich gravierendes. Spiegel Online bringt es wie folgt auf den Punkt: 

Die Entdeckung des israelischen IT-Sicherheitsexperten Gal Beniamini könnte als absichtlich eingebaute Hintertür für Behörden interpretiert werden: In Android-Smartphones, in denen ein Prozessor des Herstellers Qualcomm steckt, kann die Geräteverschlüsselung offenbar relativ einfach umgangen werden.

Solche Qualcomm-Chips sind in Dutzenden Millionen Handys zu finden. Nicht auszuschliessen ist zudem, dass auch andere Prozessor-Hersteller betroffen sind.

«Heftiger Schlag für Android-Verschlüsselung», titelt das deutsche Technologie-Newsportal heise.de. Die Voll-Verschlüsselung von Android-Smartphones weise in ihrer Sicherheits-Architektur ein ernsthaftes Design-Problem auf. Dadurch würden die eigentlich durch Voll-Verschlüsselung geschützten Daten «sehr angreifbar» gemacht.

Während beim iPhone die Verschlüsselung so gut sei, dass selbst das FBI Probleme habe, an die auf dem Gerät gespeicherten Nutzerdaten zu kommen, gebe es bei der Android-Verschlüsselung ein konzeptionelles Problem. Dies erleichtere das Entschlüsseln der Daten.

Nicht wirklich beruhigend: Es handle sich nicht um Sicherheitsprobleme der Grössenordnung von Stagefright: Im Juli 2015 wurde publik, dass sich Android-Geräte mit einer manipulierten MMS-Nachricht kapern liessen.

Ab Android 5.0

An sich verspreche die «Full Disk Encryption» von Android, eingeführt mit der Version 5.0 Lollipop, einen ähnlichen Sicherheitslevel wie die Geräteverschlüsselung bei Apples Konkurrenzsystem iOS: Aus dem User-Passwort werde ein «Masterschlüssel» errechnet – und dieser werde in einem speziell abgeschotteten Bereich aufbewahrt.

Der entscheidende Unterschied, wie Ars Technica Anfang Juli berichtete: Bei neueren iPhones und iPads sei der errechnete Schlüssel untrennbar an die Hardware gekoppelt. 

Selbst Apple könne im Zweifelsfall nicht weiterhelfen – auch nicht, wenn etwa Ermittlungsbehörden dies verlangen, wie im Fall des Attentäters von San Bernardino.

Der israelische Sicherheitsforscher schreibt in seinem Blog, dass die Hersteller von Android-Geräten in die Lage versetzt werden, notfalls einer Behörden-Aufforderung zum Brechen der «Full Disk Encryption» nachzukommen.

Das Problem bei solchen Hintertüren: Auch Unbefugte könnten sich darüber Zugriff auf sensible Daten verschaffen.

Und die gute Nachricht?

Für die publik gemachten Probleme gibt es laut Medienberichten mittlerweile einen «Patch», also eine Software-Aktualisierung, um die Sicherheitslücken zu schliessen.

Der israelische Forscher soll sowohl Google als auch Qualcomm schon vor Monaten über das Problem informiert haben, bevor er nun öffentlich machte, wie der Angriff funktioniert. Der Haken laut Spiegel Online: 

«Wie immer bei Android kann es Monate dauern, bis Gerätehersteller eine aktualisierte Firmware an die Kunden ausliefern – und das passiert im Normalfall nur bei den neueren Modellen.»

Vollständig aus der Welt schaffen liesse sich die Sicherheitslücke ohnehin nur, wenn Qualcomm seine Prozessoren modifiziere. Denn Angreifer könnten zumindest einen Teil der Android-Geräte auch nach dem Einspielen der Updates wieder verwundbar machen – durch das erneute Installieren einer älteren Firmware-Version.

Qualcomm arbeitet laut eigenen Angaben mit Google zusammen, um das Problem für zukünftige Geräte zu beseitigen.

Bleibt daran zu erinnern, dass auf Android-Geräten die Full-Disk-Verschlüsselung nicht standardmässig aktiviert ist, weil sie im Alltag zu Problemen führen kann. Auf neueren iPhones erfolgt die Verschlüsselung hingegen automatisch. Beim Einrichten des Systems wird man aufgefordert, einen (sechsstelligen) PIN-Code festzulegen.

Ob die amerikanischen Geheimdienste – allen voran die NSA – trotz besserer Verschlüsselung Zugriff auf das Apple-System iOS erlangen können, ist nicht bekannt. Snowden lässt grüssen.

(dsc)

Mehr zu Android

Alle Storys anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Kommentar

Wer glaubt, SwissCovid sei eine Spionage-App, hat diese Tweets noch nicht gesehen

Seit Donnerstag steht die Corona-Warn-App SwissCovid offiziell zum Download bereit. Anders gesagt: Nun sind WhatsApp-Gruppen-Benachrichtigungen nicht mehr die schlimmsten Notifications...

Die Schweizer Corona-Warn-App SwissCovid ist endlich am Start. Sie soll mithelfen, eine potenzielle zweite Corona-Welle möglichst flach zu halten. Mit der vom Bund lancierten App sollen Covid-19-Infektionen rasch erkannt und Ansteckungsketten nachverfolgt werden können.

Die Nutzung der Corona-Warn-App geschieht anonym und sie greift zu keinem Zeitpunkt auf den Standort zu. Da alle sensitiven Informationen stets auf dem eigenen Smartphone bleiben, sprich nicht auf einem fremden Server zentral …

Artikel lesen
Link zum Artikel