Android hat ein grosses Sicherheitsproblem

Die Datenverschlüsselung bei Android-Telefonen lässt sich auf vielen Geräten aushebeln. Google muss nachbessern.

Das Schloss lässt sich bei manchen Telefonen leicht knacken.

Das Schloss lässt sich bei manchen Telefonen leicht knacken. Bild: C_osett/Flickr.com

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Die modernen Smartphone-Betriebssysteme verschlüsseln alle gespeicherten Daten per Standard. Das nennt sich Vollverschlüsselung. Wie wichtig sie ist, hat der Zwist von FBI gegen Apple gezeigt: Die persönlichen Daten sind für niemanden zugänglich – auch nicht für Ermittlungsbehörden. (Es sei denn, diese beitreiben einen sehr grossen Aufwand, können den Zugangscode zum Gerät eruieren oder auf anderem Weg, etwa via Cloud-Back-up, Zugriff auf die Daten nehmen.)

Nun scheint die Vollverschlüsselung bei Android nicht so sicher zu sein wie bisher angenommen. Das berichtet Heise.de unter Berufung auf einen Sicherheitsexperten. Der Angriffspunkt liegt beim Geräteschlüssel.

Da die meisten Smartphonebesitzer einen kurzen PIN-Code von vier oder sechs Zahlen verwenden, wäre die Verschlüsselung, die mithilfe des Codes erfolgt, sehr leicht zu knacken: Die möglichen Varianten liessen sich innert sehr kurzer Zeit automatisch durchprobieren. Daher wird der Code durch den Geräteschlüssel ergänzt und auf diese Weise verlängert. Der Geräteschlüssel ist mit vertretbarem Aufwand nicht auslesbar.

Bei Android hätte das FBI leichtes Spiel gehabt

Der Sicherheitsexperte hat nun herausgefunden, dass bei Android-Telefonen mit Qualcomm-Prozessoren der Geräteschlüssel nun doch auslesbar ist: Bei den entsprechenden Geräten lässt sich die Vollverschlüsselung so mit bescheidenen Mitteln umgehen. Das hat gemäss den Sicherheitsexperten die Auswirkung, dass Gerätehersteller mit Behörden und Geheimdiensten zusammenarbeiten könnten, um die Geräte aufzubrechen.

Schuld an der gravierenden Sicherheitslücke sind Fehler im Code bei der sogenannten Trusted Zone. Die Lücken sind zwar inzwischen geschlossen, doch da ein Grossteil aller Android-Geräte nicht innert nützlicher Frist mit den Updates versehen werden, bleiben sehr viele Geräte angreifbar. Ein Sicherheitsunternehmen schätzt, dass etwa die Hälfte der Android-Telefone angreifbar ist. Ausserdem schützen auch Updates nicht per se vor Angriffen: Ein Angreifer könnte sich nämlich einfach mithilfe einer älteren Version der Systemsoftware, in der die Lücke noch vorhanden ist, Zugriff auf die Daten verschaffen.

Schnellere Aktualisierung tut not

Wer sich absichern will, kann anstelle eines PIN-Codes am Telefon auch ein Passwort wählen. Das Entsperren ist dann zwar umständlicher, die Daten aber sehr viel sicherer. Sicherheitsexperten geben Besitzern von Android-Telefonen ausserdem folgende Tipps:

  • Prüfen Sie, ob Updates für Android vorliegen, und installieren Sie sie. Falls Ihr Gerät älteren Datums ist und keine Updates mehr erhält und Sie sowieso mit einer Neuanschaffung geliebäugelt haben, wäre jetzt ein guter Zeitpunkt für ein neues Telefon – auch wenn diese Sicherheitslücke nicht die Dimension von Stagefright erreicht, wo Telefone per MMS-Nachricht feindlich übernommen werden konnten.
  • Manche Geräte werden häufiger aktualisiert als andere. Modelle, die nicht an einen Mobilfunkanbieter oder einen Dritthersteller gekoppelt sind (wie Googles Nexus-Reihe), werden schnell aktualisiert. Für Anwender mit hohem Sicherheitsbedürfnis daher eine gute Wahl!
  • Installieren Sie so wenige Apps wie möglich und am besten nur solche von grossen und bekannten Herstellern. Bei Facebook sei es weniger wahrscheinlich, dass ein gefährlicher Code in eine App eingebaut werde, als bei einem unbekannten Entwickler.

Die Empfehlung der Sicherheitsexperten an Google lautet, zusammen mit den Geräteherstellern eine robustere Lösung zu entwickeln.

Erstellt: 05.07.2016, 10:25 Uhr

Artikel zum Thema

FBI hackt iPhone: Was das nun für den Kryptokrieg bedeutet

Analyse Das FBI hat das iPhone des San-Bernardino-Attentäters ohne Apples Hilfe geknackt. Das ist wegweisend – in verschiedenen Bereichen. Mehr...

Googles neue Android-Version heisst «Nougat»

Google greift für den Namen der neuen Version seines mobilen Betriebssystems Android wieder ins Süssigkeitenregal. Mehr...

Ein neues Dreamteam

Video Marshmallow, das jüngste Android-Update, ist toll. Android 6 auf dem neuen Galaxy S7: Wir zeigen, was das Traumgespann kann! Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Service

Ihre Spasskarte

Mit Ihrer Carte Blanche von diversen Vergünstigungen profitieren.

Blogs

Geldblog Fürstliche Anlagen mit Potenzial

Sweet Home Willkommen im «Nouveau Boudoir»

Die Welt in Bildern

Ganz schön angeknipst: Ein Mitglied des Bingo Zirkus Theater steht anlässlich des 44. internationalen Zirkusfestivals in Monte Carlo auf der Bühne. (16. Januar 2020)
(Bild: Daniel Cole ) Mehr...