Abo
  • Services:
Anzeige
Ein taumelnder Androide - die Verschlüsselung ist leider unsicherer als gedacht.
Ein taumelnder Androide - die Verschlüsselung ist leider unsicherer als gedacht. (Bild: Josep Lago/Getty Images)

Mal wieder der Medienserver

Durch eine Schwachstelle im Medienserver von Android, konkret in der DRM-Komponente des Herstellers Widevine, gelang es Beniamini, Zugriff auf die erstellten Schlüssel zu erlangen.

Diese können dann auf einem leistungsfähigen Rechner, etwa einer Amazon-AWS-Instanz mit einem Brute-Force-Angriff so lange bearbeitet werden, bis der Angreifer das Passwort herausfindet. In Androids Medienserver werden immer wieder gravierende Schwachstellen gefunden, wie Stagefright.

Anzeige

Der einzige Schutz gegen einen solchen Angriff ist ein sicheres, langes Passwort. Doch ein alphanumerisches Passwort mit mehr als 20 Zeichen, Groß-, Kleinschreibung und womöglich Sonderzeichen mag wohl kaum einer regelmäßig in sein Smartphone eintippen. Denn das Passwort für die Verschlüsselung ist mit dem Passwort zum Entsperren des Gerätes identisch. Die Entsperrung per Fingerabdruck könnte hier Abhilfe schaffen, hat aber wiederum Schwächen.

Um die Schwachstelle auszunutzen, könnte ein Angreifer eine bösartige App in den Appstore stellen, die Nutzer dann installieren. Diese könnte dann im Hintergrund die entsprechenden Informationen abgreifen und weiterleiten.

Sicherheitspatches sind da - aber auch für jeden?

Die gefundenen Schwachstellen im Medienserver wurden durch Google bereits gepatcht. Einige mit dem Sicherheitsupdate vom Januar, die anderen im Mai. Android-Nutzer können die Sicherheitspatch-Stufe ihres Gerätes in den Einstellungen selbst herausfinden. Zahlreiche Geräte haben die Updates noch nicht erhalten, die Sicherheitsfirma Duo Security schätzt, dass noch rund 37 Prozent der Geräte verwundbar bleiben.

Beniamini empfiehlt jedoch, längerfristig auf ein Hardware-basiertes Verfahren umzusteigen, ähnlich wie bei iOS. Die Angriffsfläche ist deutlich geringer, einfache Software kann dann nicht im gleichen Maße auf die Informationen in der sicheren Enklave zurückgreifen.

Die vorgestellten Schwachstellen machen einen Angriff gegen die Geräteverschlüsselung für Akteure mit vielen Ressourcen einfacher. Dass jetzt plötzlich Kleinkriminelle ein Android-Gerät entschlüsseln können, ist nicht zu erwarten. Relevant ist tatsächlich die Diskussion um das grundlegende Design der Verschlüsselung, besonders die Verwendung eines einmaligen, zufallsgenerierten Hardwarekeys.

 Qualcomm-Chips: Android-Geräteverschlüsselung ist angreifbar

eye home zur Startseite
kill4the 07. Sep 2016

Die Möglichkeit habe ich schon seit CM12 nicht mehr. In CM11 war das noch möglich. Wenn...

david_rieger 05. Jul 2016

Ist doch Quatsch. Nach aktuellem Stand ist z.B. die Fingerabdruck-Verschlüsselung des...

Trollversteher 05. Jul 2016

Bei diesem iPhone handelte es sich auch um ein altes iPhone 5c, das weder mit...

FreiGeistler 05. Jul 2016

Warum nutzt Qualcomm/Android nicht verschlüsselnde Dateisysteme? Kann man damit kein DRM...



Anzeige

Stellenmarkt
  1. aia automations Institut GmbH, Amberg
  2. echion Corporate Communication AG, Augsburg
  3. symmedia GmbH, Bielefeld
  4. über Nash Direct GmbH, Böblingen


Anzeige
Top-Angebote
  1. mit bis zu 20% Rabatt
  2. 199€

Folgen Sie uns
       


  1. Tele Columbus

    1 GBit würden "gegenwärtig nur die Nerds buchen"

  2. Systemkamera

    Leica CL verbindet Retro-Design mit neuester Technik

  3. Android

    Google bekommt Standortdaten auch ohne GPS-Aktivierung

  4. Kabelnetz

    Primacom darf Kundendaten nicht weitergeben

  5. SX-10 Aurora Tsubasa

    NECs Beschleuniger nutzt sechs HBM2-Stacks

  6. Virtual Reality

    Huawei und TPCast wollen VR mit 5G streamen

  7. Wayland-Desktop

    Nvidia bittet um Mitarbeit an Linux-Speicher-API

  8. Kabelnetz

    Vodafone liefert Kabelradio-Receiver mit Analogabschaltung

  9. Einigung erzielt

    EU verbietet Geoblocking im Online-Handel

  10. Unitymedia

    Discounter Eazy kommt technisch nicht an das TV-Kabelnetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Mozilla Wenn Experimente besser sind als Produkte
  2. Firefox 57 Firebug wird nicht mehr weiterentwickelt
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

Windows 10 Version 1709 im Kurztest: Ein bisschen Kontaktpflege
Windows 10 Version 1709 im Kurztest
Ein bisschen Kontaktpflege
  1. Windows 10 Microsoft stellt Sicherheitsrichtlinien für Windows-PCs auf
  2. Fall Creators Update Microsoft will neues Windows 10 schneller verteilen
  3. Windows 10 Microsoft verteilt Fall Creators Update

  1. Re: Verstehe die Aufregung nicht.

    Bautz | 22:43

  2. Re: Wieviel Akku vertrödelt eigentlich GPS permaON?

    Bautz | 22:40

  3. Re: Ich hätte lieber symmetrische 100mbit...

    FreierLukas | 22:39

  4. Re: Nvidia hat keinerlei Respekt

    DASPRiD | 22:38

  5. Ich will auch keine 200MBits von denen, ...

    Schnurrbernd | 22:30


  1. 20:00

  2. 18:28

  3. 18:19

  4. 17:51

  5. 16:55

  6. 16:06

  7. 15:51

  8. 14:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel