Abo
  • Services:
Anzeige
Ein taumelnder Androide - die Verschlüsselung ist leider unsicherer als gedacht.
Ein taumelnder Androide - die Verschlüsselung ist leider unsicherer als gedacht. (Bild: Josep Lago/Getty Images)

Mal wieder der Medienserver

Durch eine Schwachstelle im Medienserver von Android, konkret in der DRM-Komponente des Herstellers Widevine, gelang es Beniamini, Zugriff auf die erstellten Schlüssel zu erlangen.

Diese können dann auf einem leistungsfähigen Rechner, etwa einer Amazon-AWS-Instanz mit einem Brute-Force-Angriff so lange bearbeitet werden, bis der Angreifer das Passwort herausfindet. In Androids Medienserver werden immer wieder gravierende Schwachstellen gefunden, wie Stagefright.

Anzeige

Der einzige Schutz gegen einen solchen Angriff ist ein sicheres, langes Passwort. Doch ein alphanumerisches Passwort mit mehr als 20 Zeichen, Groß-, Kleinschreibung und womöglich Sonderzeichen mag wohl kaum einer regelmäßig in sein Smartphone eintippen. Denn das Passwort für die Verschlüsselung ist mit dem Passwort zum Entsperren des Gerätes identisch. Die Entsperrung per Fingerabdruck könnte hier Abhilfe schaffen, hat aber wiederum Schwächen.

Um die Schwachstelle auszunutzen, könnte ein Angreifer eine bösartige App in den Appstore stellen, die Nutzer dann installieren. Diese könnte dann im Hintergrund die entsprechenden Informationen abgreifen und weiterleiten.

Sicherheitspatches sind da - aber auch für jeden?

Die gefundenen Schwachstellen im Medienserver wurden durch Google bereits gepatcht. Einige mit dem Sicherheitsupdate vom Januar, die anderen im Mai. Android-Nutzer können die Sicherheitspatch-Stufe ihres Gerätes in den Einstellungen selbst herausfinden. Zahlreiche Geräte haben die Updates noch nicht erhalten, die Sicherheitsfirma Duo Security schätzt, dass noch rund 37 Prozent der Geräte verwundbar bleiben.

Beniamini empfiehlt jedoch, längerfristig auf ein Hardware-basiertes Verfahren umzusteigen, ähnlich wie bei iOS. Die Angriffsfläche ist deutlich geringer, einfache Software kann dann nicht im gleichen Maße auf die Informationen in der sicheren Enklave zurückgreifen.

Die vorgestellten Schwachstellen machen einen Angriff gegen die Geräteverschlüsselung für Akteure mit vielen Ressourcen einfacher. Dass jetzt plötzlich Kleinkriminelle ein Android-Gerät entschlüsseln können, ist nicht zu erwarten. Relevant ist tatsächlich die Diskussion um das grundlegende Design der Verschlüsselung, besonders die Verwendung eines einmaligen, zufallsgenerierten Hardwarekeys.

 Qualcomm-Chips: Android-Geräteverschlüsselung ist angreifbar

eye home zur Startseite
kill4the 07. Sep 2016

Die Möglichkeit habe ich schon seit CM12 nicht mehr. In CM11 war das noch möglich. Wenn...

david_rieger 05. Jul 2016

Ist doch Quatsch. Nach aktuellem Stand ist z.B. die Fingerabdruck-Verschlüsselung des...

Trollversteher 05. Jul 2016

Bei diesem iPhone handelte es sich auch um ein altes iPhone 5c, das weder mit...

FreiGeistler 05. Jul 2016

Warum nutzt Qualcomm/Android nicht verschlüsselnde Dateisysteme? Kann man damit kein DRM...



Anzeige

Stellenmarkt
  1. IFS Deutschland GmbH & Co. KG, Erlangen
  2. T-Systems International GmbH, München
  3. MediaMarktSaturn IT Solutions, München
  4. BG-Phoenics GmbH, München


Anzeige
Hardware-Angebote
  1. 17,99€ statt 29,99€
  2. 77,00€
  3. 39,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Super Mario Run

    Nintendo bleibt trotz Enttäuschung beim Bezahlmodell

  2. Samsung

    Galaxy Note 7 wird per Update endgültig lahmgelegt

  3. The Ringed City

    From Software zeigt Abschluss von Dark Souls 3 im Trailer

  4. Dieter Lauinger

    Minister fordert Gesetz gegen Hasskommentare noch vor Wahl

  5. Die Woche im Video

    Cebit wird heiß, Android wird neu, Aliens werden gesprächig

  6. Mobilfunkausrüster

    Welche Frequenzen für 5G in Deutschland diskutiert werden

  7. XMPP

    Bundesnetzagentur will hundert Jabber-Clients regulieren

  8. Synlight

    Wie der Wasserstoff aus dem Sonnenlicht kommen soll

  9. Pietsmiet

    "Alle Twitch-Kanäle sind kostenpflichtiger Rundfunk"

  10. Apache-Lizenz 2.0

    OpenSSL plant Lizenzwechsel an der Community vorbei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Airselfie im Hands on: Quadcopter statt Deppenzepter
Airselfie im Hands on
Quadcopter statt Deppenzepter
  1. Fiberglas und Magneten Wabbeliger Quadcopter übersteht Stürze
  2. Senkrechtstarter Solardrohne fliegt wie ein Harrier
  3. Mobiler Startplatz UPS-Lieferwagen liefert mit Drohne Pakete aus

Tuxedo Book XC1507 v2 im Test: Linux ist nur einmal besser
Tuxedo Book XC1507 v2 im Test
Linux ist nur einmal besser
  1. Gaming-Notebook Razer aktualisiert Blade 14 mit Kaby Lake und 4K-UHD
  2. MSI GS63VR und Gigabyte Aero 14 im Test Entscheidend ist der Akku

BSI: Schützt euer Owncloud vor Feuer und Wasser!
BSI
Schützt euer Owncloud vor Feuer und Wasser!
  1. VoIP Deutsche Telekom hatte Störung der IP-Telefonie
  2. Alte Owncloud und Nextcloud-Versionen Parteien und Ministerien nutzen unsichere Cloud-Dienste
  3. NFC Neuer Reisepass lässt sich per Handy auslesen

  1. Re: Philosophisch falsch :)

    MKar | 05:09

  2. Re: Titel?

    __destruct() | 04:40

  3. Re: Ich finde das ausnahmsweise gut

    picaschaf | 04:29

  4. 10 Minuten E-Mail über VPN :)

    Techn | 04:26

  5. Re: Inbesondere Verweis auf Teil 7 TKG interessant...

    justjanne | 03:11


  1. 15:20

  2. 14:13

  3. 12:52

  4. 12:39

  5. 09:03

  6. 17:45

  7. 17:32

  8. 17:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel