Abo
  • Services:
Anzeige
Ein taumelnder Androide - die Verschlüsselung ist leider unsicherer als gedacht.
Ein taumelnder Androide - die Verschlüsselung ist leider unsicherer als gedacht. (Bild: Josep Lago/Getty Images)

Qualcomm-Chips: Android-Geräteverschlüsselung ist angreifbar

Ein taumelnder Androide - die Verschlüsselung ist leider unsicherer als gedacht.
Ein taumelnder Androide - die Verschlüsselung ist leider unsicherer als gedacht. (Bild: Josep Lago/Getty Images)

Mehrere Schwachstellen in Android ermöglichen Angreifern, Zugriff auf Verschlüsselungskeys zu bekommen. Google hat die konkreten Lücken gepatcht, doch das Grundproblem bleibt: Die Schlüssel sind für die Software zugänglich. Nutzer können nur wenig tun.

Der Sicherheitsforscher Gal Beniamini hat einen Angriff auf die Gerätevollverschlüsselung von Android-Smartphones vorgestellt. Angreifer können seinen Angaben zufolge mit Hilfe extrahierter Informationen und einem Brute-Force-Angriff das verwendete Passwort knacken und damit die verschlüsselten Informationen auslesen. Der Angriff funktioniert nur auf Android-Geräten mit einem Qualcomm-Chipsatz, der jedoch bei mittel- und hochklassigen Geräten weit verbreitet ist.

Anzeige

Anders als bei Apple-Geräten wird der Prozess der Schlüsselerstellung (Key Derivation) durch Software bestimmt. Apple leitet den persönlichen Schlüssel der Nutzer aus dem gewählten Passwort und einer einmaligen, fest vergebenen Variable in einem bestimmten Speicherbereich ab. Dieser Unique Identifier (UID) ist 256-Bit lang und agiert als Hardwareschlüssel. Dieser Schlüssel kann nicht durch Software ausgelesen werden und ist für Angreifer damit nur mit extremem Aufwand zugänglich.

Im Streit zwischen Apple und dem FBI um das iPhone von Syed Farook wurde als eine denkbare Option zur Entschlüsselung angedacht, den Chip, der die UID enthält, abzuschleifen und die Information physisch am genauen Speicherort auszulesen, etwa mit einem Elektronenmikroskop. Diese Variante könnte zwar erfolgreich sein, birgt aber die Gefahr der endgültigen Zerstörung des Gerätes und der enthaltenen Informationen. Für normale Angreifer ist sie damit nicht zugänglich.

SHK statt UID

Bei Android-Geräten basiert die Vollverschlüsselung des Speichers zwar auch auf einem durch die Hardware vorgegebenen Schlüssel, dem SHK. Doch mit Hilfe des SHK wird ein weiterer Schlüssel erstellt, der dann softwareseitig gespeichert wird. Dieser Schlüssel wird dann für alle weiteren Operationen verwendet, ist aber eben auch für die Software zugänglich. Der SHK unterscheidet sich insoweit von Apples UID, dass er für zahlreiche Operationen des Android-Betriebssystems verwendet wird.

Qualcomm versucht, die Informationen mit einer Kombination aus Hardware- und Softwaredesign gegen unbefugten Zugriff zu schützen. Die kryptographischen Schlüssel und andere sicherheitsrelevante Vorgänge werden in einem speziellen Bereich des Prozessors, der sogenannten Trustzone, verwaltet. Das normale Betriebssystem läuft im "unsicheren" Bereich des Prozessors und hat nur begrenzte Schnittstellen mit dem "sicheren" Bereich.

Doch genau diese Schnittstellen, trustlets genannt, sind offenbar weniger sicher als gedacht. Viele Programme können zu verschiedenen Zwecken auf die Trustzone zugreifen, nur die wenigsten Nutzer dürften das Risiko bei verschiedenen Apps adäquat einschätzen können.

Mal wieder der Medienserver 

eye home zur Startseite
kill4the 07. Sep 2016

Die Möglichkeit habe ich schon seit CM12 nicht mehr. In CM11 war das noch möglich. Wenn...

david_rieger 05. Jul 2016

Ist doch Quatsch. Nach aktuellem Stand ist z.B. die Fingerabdruck-Verschlüsselung des...

Trollversteher 05. Jul 2016

Bei diesem iPhone handelte es sich auch um ein altes iPhone 5c, das weder mit...

FreiGeistler 05. Jul 2016

Warum nutzt Qualcomm/Android nicht verschlüsselnde Dateisysteme? Kann man damit kein DRM...



Anzeige

Stellenmarkt
  1. Fraunhofer-Institut für Produktionstechnologie IPT, Aachen
  2. Landeshauptstadt München, München
  3. Der Polizeipräsident in Berlin, Berlin
  4. SQS Software Quality Systems AG, Gifhorn-Weyhausen, Köln, Frankfurt, München, Hamburg, deutschlandweit


Anzeige
Hardware-Angebote
  1. 269,90€ + 3,99€ Versand (Vergleichspreis 297€)
  2. 24,04€

Folgen Sie uns
       


  1. Apple iOS 11 im Test

    Alte Apps weg, Daten weg, aber sonst alles gut

  2. Bitkom

    Ausbau mit Glasfaser kann noch 20 Jahre dauern

  3. Elektroauto

    Nikolas E-Trucks bekommen einen Antrieb von Bosch

  4. HHVM

    Facebook konzentriert sich künftig auf Hack statt PHP

  5. EU-Datenschutzreform

    Bitkom warnt Firmen vor Millionen-Bußgeldern

  6. Keybase Teams

    Opensource-Teamchat verschlüsselt Gesprächsverläufe

  7. Elektromobilität

    In Norwegen fehlen Ladesäulen

  8. Metroid Samus Returns im Kurztest

    Rückkehr der gelenkigen Kopfgeldjägerin

  9. Encrypted Media Extensions

    Web-DRM ist ein Standard für Nutzer

  10. TP Link Archer CR700v

    Einziger AVM-Konkurrent bei Kabelroutern gibt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Mobilestudio Pro 16 im Test: Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
Mobilestudio Pro 16 im Test
Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  1. Wacom Vorschau auf Cintiq-Stift-Displays mit 32 und 24 Zoll

  1. Re: RÄLLEN

    TuX12 | 02:15

  2. Re: *Gerade* Siemens und Bosch scheitern daran

    Sharra | 02:07

  3. Re: Ist doch alles ganz einfach... LTE High Speed...

    DASPRiD | 01:58

  4. Re: Geht dann Spotify Web eines Tages auf dem...

    redwolf | 01:56

  5. Re: Linux

    redwolf | 01:51


  1. 19:04

  2. 18:51

  3. 18:41

  4. 17:01

  5. 16:46

  6. 16:41

  7. 16:28

  8. 16:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel