Mal wieder der Medienserver

Durch eine Schwachstelle im Medienserver von Android, konkret in der DRM-Komponente des Herstellers Widevine, gelang es Beniamini, Zugriff auf die erstellten Schlüssel zu erlangen.

Diese können dann auf einem leistungsfähigen Rechner, etwa einer Amazon-AWS-Instanz mit einem Brute-Force-Angriff so lange bearbeitet werden, bis der Angreifer das Passwort herausfindet. In Androids Medienserver werden immer wieder gravierende Schwachstellen gefunden, wie Stagefright.

Der einzige Schutz gegen einen solchen Angriff ist ein sicheres, langes Passwort. Doch ein alphanumerisches Passwort mit mehr als 20 Zeichen, Groß-, Kleinschreibung und womöglich Sonderzeichen mag wohl kaum einer regelmäßig in sein Smartphone eintippen. Denn das Passwort für die Verschlüsselung ist mit dem Passwort zum Entsperren des Gerätes identisch. Die Entsperrung per Fingerabdruck könnte hier Abhilfe schaffen, hat aber wiederum Schwächen.

Um die Schwachstelle auszunutzen, könnte ein Angreifer eine bösartige App in den Appstore stellen, die Nutzer dann installieren. Diese könnte dann im Hintergrund die entsprechenden Informationen abgreifen und weiterleiten.

Sicherheitspatches sind da - aber auch für jeden?

Die gefundenen Schwachstellen im Medienserver wurden durch Google bereits gepatcht. Einige mit dem Sicherheitsupdate vom Januar, die anderen im Mai. Android-Nutzer können die Sicherheitspatch-Stufe ihres Gerätes in den Einstellungen selbst herausfinden. Zahlreiche Geräte haben die Updates noch nicht erhalten, die Sicherheitsfirma Duo Security schätzt, dass noch rund 37 Prozent der Geräte verwundbar bleiben.

Beniamini empfiehlt jedoch, längerfristig auf ein Hardware-basiertes Verfahren umzusteigen, ähnlich wie bei iOS. Die Angriffsfläche ist deutlich geringer, einfache Software kann dann nicht im gleichen Maße auf die Informationen in der sicheren Enklave zurückgreifen.

Die vorgestellten Schwachstellen machen einen Angriff gegen die Geräteverschlüsselung für Akteure mit vielen Ressourcen einfacher. Dass jetzt plötzlich Kleinkriminelle ein Android-Gerät entschlüsseln können, ist nicht zu erwarten. Relevant ist tatsächlich die Diskussion um das grundlegende Design der Verschlüsselung, besonders die Verwendung eines einmaligen, zufallsgenerierten Hardwarekeys.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Qualcomm-Chips: Android-Geräteverschlüsselung ist angreifbar
  1.  
  2. 1
  3. 2
Verwandte Artikel
artikel-bild
Modulare Smartphones
Lenovo kann Moto-Mods-Versprechen nicht halten
artikel-bild
Fluggastdaten
Regierung dementiert Hackerangriff auf deutsches PNR-System
artikel-bild
Always Connected PCs
Vielversprechender Windows-RT-Nachfolger mit Fragezeichen
Meistgelesen
artikel-bild
Google Street View
Deutschland bekommt keine Möglichkeit zur Zeitreise
artikel-bild
Balkonkraftwerke
Bundesnetzagentur warnt vor mangelhaften Wechselrichtern
artikel-bild
Wissenschaft
In Energydrinks enthaltenes Taurin könnte Leben verlängern
Kommentarübersicht
Re: die passphrase der verschlüsselung muss nicht...
kill4the 07. Sep 2016

Die Möglichkeit habe ich schon seit CM12 nicht mehr. In CM11 war das noch möglich. Wenn...

Re: Sicheres Passwort
Anonymer Nutzer 05. Jul 2016

Ist doch Quatsch. Nach aktuellem Stand ist z.B. die Fingerabdruck-Verschlüsselung des...

Re: Das ist nicht richtig
Trollversteher 05. Jul 2016

Bei diesem iPhone handelte es sich auch um ein altes iPhone 5c, das weder mit...

Warum das Rad neu erfinden?
FreiGeistler 05. Jul 2016

Warum nutzt Qualcomm/Android nicht verschlüsselnde Dateisysteme? Kann man damit kein DRM...

Aktuell auf der Startseite von Golem.de
Google Street View
Deutschland bekommt keine Möglichkeit zur Zeitreise

Mit der überfälligen Aktualisierung verliert Street View auch das alte Bildmaterial - und das hat nicht nur mit Datenschutz zu tun.
Von Daniel Ziegener

Google Street View: Deutschland bekommt keine Möglichkeit zur Zeitreise
Artikel
  1. Schifffahrt: Hurtigruten plant Elektroschiff mit Segeln und Solarmodulen
    Schifffahrt
    Hurtigruten plant Elektroschiff mit Segeln und Solarmodulen

    Die norwegische Postschiff-Reederei will 2030 das erste Schiff in Betrieb nehmen, das elektrisch und vom Wind angetrieben wird.

  2. Saporischschja: AKW ist nach Staudammzerstörung mittelfristig in Gefahr
    Saporischschja
    AKW ist nach Staudammzerstörung mittelfristig in Gefahr

    Ein Experte für Reaktorsicherheit befürchtet, dass dem Atomkraftwerk Saporischschja das Kühlwasser ausgeht.

  3. Volker Wissing: Deutschlandticket soll in Frankreich gelten - und umgekehrt
    Volker Wissing
    Deutschlandticket soll in Frankreich gelten - und umgekehrt

    Frankreich plant etwas Ähnliches wie das 49-Euro-Ticket. Wissing will mit den Franzosen gemeinsame Sache machen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • XXL-Sale bei Alternate • MindStar: MSI G281UVDE 269€, ASRock RX 6700 XT Phantom D OC 379€, XFX Speedster MERC 319 RX 6800 XT Core 559€ • Corsair Vengeance RGB PRO SL DDR4-3600 32 GB 79,90€ • Corsair K70 RGB PRO 125,75€ • SHARP 65FN6E Android Frameless TV 559,20€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /