Abo
  • IT-Karriere:

Mal wieder der Medienserver

Durch eine Schwachstelle im Medienserver von Android, konkret in der DRM-Komponente des Herstellers Widevine, gelang es Beniamini, Zugriff auf die erstellten Schlüssel zu erlangen.

Stellenmarkt
  1. hubergroup Deutschland GmbH, Kirchheim bei München
  2. INSYS MICROELECTRONICS GmbH, Regensburg

Diese können dann auf einem leistungsfähigen Rechner, etwa einer Amazon-AWS-Instanz mit einem Brute-Force-Angriff so lange bearbeitet werden, bis der Angreifer das Passwort herausfindet. In Androids Medienserver werden immer wieder gravierende Schwachstellen gefunden, wie Stagefright.

Der einzige Schutz gegen einen solchen Angriff ist ein sicheres, langes Passwort. Doch ein alphanumerisches Passwort mit mehr als 20 Zeichen, Groß-, Kleinschreibung und womöglich Sonderzeichen mag wohl kaum einer regelmäßig in sein Smartphone eintippen. Denn das Passwort für die Verschlüsselung ist mit dem Passwort zum Entsperren des Gerätes identisch. Die Entsperrung per Fingerabdruck könnte hier Abhilfe schaffen, hat aber wiederum Schwächen.

Um die Schwachstelle auszunutzen, könnte ein Angreifer eine bösartige App in den Appstore stellen, die Nutzer dann installieren. Diese könnte dann im Hintergrund die entsprechenden Informationen abgreifen und weiterleiten.

Sicherheitspatches sind da - aber auch für jeden?

Die gefundenen Schwachstellen im Medienserver wurden durch Google bereits gepatcht. Einige mit dem Sicherheitsupdate vom Januar, die anderen im Mai. Android-Nutzer können die Sicherheitspatch-Stufe ihres Gerätes in den Einstellungen selbst herausfinden. Zahlreiche Geräte haben die Updates noch nicht erhalten, die Sicherheitsfirma Duo Security schätzt, dass noch rund 37 Prozent der Geräte verwundbar bleiben.

Beniamini empfiehlt jedoch, längerfristig auf ein Hardware-basiertes Verfahren umzusteigen, ähnlich wie bei iOS. Die Angriffsfläche ist deutlich geringer, einfache Software kann dann nicht im gleichen Maße auf die Informationen in der sicheren Enklave zurückgreifen.

Die vorgestellten Schwachstellen machen einen Angriff gegen die Geräteverschlüsselung für Akteure mit vielen Ressourcen einfacher. Dass jetzt plötzlich Kleinkriminelle ein Android-Gerät entschlüsseln können, ist nicht zu erwarten. Relevant ist tatsächlich die Diskussion um das grundlegende Design der Verschlüsselung, besonders die Verwendung eines einmaligen, zufallsgenerierten Hardwarekeys.

 Qualcomm-Chips: Android-Geräteverschlüsselung ist angreifbar
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

kill4the 07. Sep 2016

Die Möglichkeit habe ich schon seit CM12 nicht mehr. In CM11 war das noch möglich. Wenn...

Anonymer Nutzer 05. Jul 2016

Ist doch Quatsch. Nach aktuellem Stand ist z.B. die Fingerabdruck-Verschlüsselung des...

Trollversteher 05. Jul 2016

Bei diesem iPhone handelte es sich auch um ein altes iPhone 5c, das weder mit...

FreiGeistler 05. Jul 2016

Warum nutzt Qualcomm/Android nicht verschlüsselnde Dateisysteme? Kann man damit kein DRM...


Folgen Sie uns
       


Mercedes EQC probegefahren

Wie schlägt sich der neue EQC von Mercedes im Vergleich mit anderen Elektroautos? Golem.de hat das SUV in der Umgebung von Stuttgart Probe gefahren.

Mercedes EQC probegefahren Video aufrufen
Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Elektroauto Neuer Chevrolet Bolt fährt 34 km weiter
  2. Elektroauto Porsches Elektroauto Taycan im 24-Stunden-Dauertest
  3. Be emobil Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt

10th Gen Core: Intel verwirrt mit 1000er- und 10000er-Prozessoren
10th Gen Core
Intel verwirrt mit 1000er- und 10000er-Prozessoren

Ifa 2019 Wer nicht genau hinschaut, erhält statt eines vierkernigen 10-nm-Chips mit schneller Grafikeinheit einen Dualcore mit 14++-Technik und lahmer iGPU: Intels Namensschema für Ice Lake und Comet Lake alias der 10th Gen macht das CPU-Portfolio wenig transparent.
Von Marc Sauter

  1. Neuromorphic Computing Intel simuliert 8 Millionen Neuronen mit 64 Loihi-Chips
  2. EMIB trifft Foveros Intel kombiniert 3D- mit 2.5D-Stacking
  3. Nervana NNP-I Intels 10-nm-Inferencing-Chip nutzt Ice-Lake-Kerne

    •  /