Android-Verschlüsselung peinlich unsicher

Der israelische IT-Sicherheitsforscher Gal Beniamini hat zwei Lücken in Googles Android-Betriebssystem entdeckt. Die wurden zwar nun geschlossen, aber bis alle Geräte das Sicherheits-Update erhalten, dürfte es eine Weile dauern. Wie Apple verlässt sich auch Google nicht allein auf die Länge des Benutzerpassworts, wählt aber bei der Speicherung des Schlüssels einen anderen Weg.

In Android-Smartphones, in denen ein Prozessor des Herstellers Qualcomm steckt, kann diese Verschlüsselung offenbar relativ leicht umgangen werden. Es handelt sich laut Beniamini dabei nicht um ein reines Software-Problem. Das Prinzip der «Full Disk Encryption» bei Android ähnelt jenem von iOS in zwei Kritieren: Das Masterpasswort, das aus dem Benutzerpasswort generiert wird, wird ebenfalls in einem speziell gesicherten Bereich gespeichert. Wie bei iOS gibt es bei Android ebenfalls einen Schutz vor sogenannten Brute-Force-Angriffen. (Damit gemeint sind gezielte mehrmalige Versuche, ein Passwort zu erraten.) Bei iOS bleibt jedoch die sogenannte Unique ID (UID) untrennbar an die jeweilige Hardware gekoppelt. Anders verhält sich das bei Android-Hardware mit Qualcomm-Chips: Statt über einen speziell definierten Bereich auf den Hardware-Schlüssel zu gelangen, greifen Apps und Betriebssystem bei Android über eine sogenannte «Trust Zone» auf den Verschlüsselungsalgorithmus zurück. Dabei handelt es sich um einen speziellen, «vertrauenswürdigen» Ausführungsbereich des Chips. Der Sicherheitsforscher weist darauf hin, dass Behören theoretisch in der Lage wären, die «Trust Zone» auf ein Flash-Modul zu kopieren und dann dessen Inhalt mit Brute-Force-Attacken auszulesen. Beniamini gelang es jedenfalls, über zwei Sicherheitslücken im Code des Android-Betriebssystems an die Trust Zone zu kommen. Das legt den Schluss nahe, dass solche Hintertüren für den Datenschutz nicht die beste Idee sind.

Der IT-Forensiker hatte nach eigenen Angaben sowohl Qualcomm als auch Google vor mehreren Monaten auf die Schwachstellen aufmerksam gemacht. Qualcomm und Google haben bereits im Januar und im Mai Updates bereitgestellt. Weniger gefährdet sind nun die Nexus-Geräte, die das Update bereits erhalten haben. Leider wird es wie immer bei allen anderen Android-Geräten mehrere Monate dauern, bis diese ihre Sicherheits-Updates erhalten.