Abo
  • IT-Karriere:

Qualcomm-Chips: Android-Geräteverschlüsselung ist angreifbar

Mehrere Schwachstellen in Android ermöglichen Angreifern, Zugriff auf Verschlüsselungskeys zu bekommen. Google hat die konkreten Lücken gepatcht, doch das Grundproblem bleibt: Die Schlüssel sind für die Software zugänglich. Nutzer können nur wenig tun.

Artikel veröffentlicht am ,
Ein taumelnder Androide - die Verschlüsselung ist leider unsicherer als gedacht.
Ein taumelnder Androide - die Verschlüsselung ist leider unsicherer als gedacht. (Bild: Josep Lago/Getty Images)

Der Sicherheitsforscher Gal Beniamini hat einen Angriff auf die Gerätevollverschlüsselung von Android-Smartphones vorgestellt. Angreifer können seinen Angaben zufolge mit Hilfe extrahierter Informationen und einem Brute-Force-Angriff das verwendete Passwort knacken und damit die verschlüsselten Informationen auslesen. Der Angriff funktioniert nur auf Android-Geräten mit einem Qualcomm-Chipsatz, der jedoch bei mittel- und hochklassigen Geräten weit verbreitet ist.

Inhalt:
  1. Qualcomm-Chips: Android-Geräteverschlüsselung ist angreifbar
  2. Mal wieder der Medienserver

Anders als bei Apple-Geräten wird der Prozess der Schlüsselerstellung (Key Derivation) durch Software bestimmt. Apple leitet den persönlichen Schlüssel der Nutzer aus dem gewählten Passwort und einer einmaligen, fest vergebenen Variable in einem bestimmten Speicherbereich ab. Dieser Unique Identifier (UID) ist 256-Bit lang und agiert als Hardwareschlüssel. Dieser Schlüssel kann nicht durch Software ausgelesen werden und ist für Angreifer damit nur mit extremem Aufwand zugänglich.

Im Streit zwischen Apple und dem FBI um das iPhone von Syed Farook wurde als eine denkbare Option zur Entschlüsselung angedacht, den Chip, der die UID enthält, abzuschleifen und die Information physisch am genauen Speicherort auszulesen, etwa mit einem Elektronenmikroskop. Diese Variante könnte zwar erfolgreich sein, birgt aber die Gefahr der endgültigen Zerstörung des Gerätes und der enthaltenen Informationen. Für normale Angreifer ist sie damit nicht zugänglich.

SHK statt UID

Bei Android-Geräten basiert die Vollverschlüsselung des Speichers zwar auch auf einem durch die Hardware vorgegebenen Schlüssel, dem SHK. Doch mit Hilfe des SHK wird ein weiterer Schlüssel erstellt, der dann softwareseitig gespeichert wird. Dieser Schlüssel wird dann für alle weiteren Operationen verwendet, ist aber eben auch für die Software zugänglich. Der SHK unterscheidet sich insoweit von Apples UID, dass er für zahlreiche Operationen des Android-Betriebssystems verwendet wird.

Stellenmarkt
  1. EnBW Energie Baden-Württemberg AG, Karlsruhe
  2. Schwarz IT KG, Neckarsulm

Qualcomm versucht, die Informationen mit einer Kombination aus Hardware- und Softwaredesign gegen unbefugten Zugriff zu schützen. Die kryptographischen Schlüssel und andere sicherheitsrelevante Vorgänge werden in einem speziellen Bereich des Prozessors, der sogenannten Trustzone, verwaltet. Das normale Betriebssystem läuft im "unsicheren" Bereich des Prozessors und hat nur begrenzte Schnittstellen mit dem "sicheren" Bereich.

Doch genau diese Schnittstellen, trustlets genannt, sind offenbar weniger sicher als gedacht. Viele Programme können zu verschiedenen Zwecken auf die Trustzone zugreifen, nur die wenigsten Nutzer dürften das Risiko bei verschiedenen Apps adäquat einschätzen können.

Mal wieder der Medienserver 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 3,99€
  2. 51,95€
  3. 34,99€
  4. 3,99€

kill4the 07. Sep 2016

Die Möglichkeit habe ich schon seit CM12 nicht mehr. In CM11 war das noch möglich. Wenn...

Anonymer Nutzer 05. Jul 2016

Ist doch Quatsch. Nach aktuellem Stand ist z.B. die Fingerabdruck-Verschlüsselung des...

Trollversteher 05. Jul 2016

Bei diesem iPhone handelte es sich auch um ein altes iPhone 5c, das weder mit...

FreiGeistler 05. Jul 2016

Warum nutzt Qualcomm/Android nicht verschlüsselnde Dateisysteme? Kann man damit kein DRM...


Folgen Sie uns
       


Nokia 6.2 und 7.2 - Hands on

Das Nokia 6.2 und das Nokia 7.2 sind zwei Android-Smartphones im Mittelklassesegment. Beide sind Teil des Android-One-Programms und dürften entsprechend schnelle Updates erhalten.

Nokia 6.2 und 7.2 - Hands on Video aufrufen
Astronomie: K2-18b ist weder eine zweite Erde noch super
Astronomie
K2-18b ist weder eine zweite Erde noch super

Die Realität sieht anders aus, als manche Überschrift vermuten lässt. Die neue Entdeckung von Wasser auf einem Exoplaneten deutet nicht auf Leben hin, dafür aber auf Probleme im Wissenschaftsbetrieb.
Von Frank Wunderlich-Pfeiffer

  1. Interview Heino Falcke "Wir machen Wettermodelle für schwarze Löcher"

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

Astrobiologie: Woher kommen das Leben, das Universum und der ganze Rest?
Astrobiologie
Woher kommen das Leben, das Universum und der ganze Rest?

Erst kam der Urknall, dann entstand zufällig Leben - oder es war alles vollkommen anders. Statt Materie und Energie könnten Informationen das Wichtigste im Universum sein, und vielleicht leben wir in einer Simulation.
Von Miroslav Stimac

  1. Astronomie Amateur entdeckt ersten echten interstellaren Kometen
  2. Astronomie Forscher entdeckten uralte Galaxien
  3. 2019 LF6 Großer Asteroid im Innern des Sonnensystems entdeckt

    •  /