Android-Sperre auch für FBI nicht zu knacken

Jedes Android-Handy kann man auslesen, wenn man es via USB anschließt und neu startet. Wer vertrauliche Daten schützen will, der muss Kryptographie verwenden. Es gibt dazu jede Menge Programme. Z.B. ArchiDroid, Encrypted Notepad, Crypt4All, etc.

Also bitte, sofern das Ding gerootet ist, und die FBI Kameraden ein bisschen Ahnung von Android haben werden sie es doch schaffen, per ADB auf den Systeminternen speicher zuzugreifen..

Hat nix mit gerooted zu tun, die Frage ist eher, ob die Debug-Verbindung vom User aktiviert wurde oder nicht.

um Smartphone-Nutzern "Sicherheit" vorzuspiegeln.
Einfach lachhaft.

Wenn mans nicht mit einem Fettfinger entsperrt ists tatsächlich nicht so einfach ^^

So wie der Artikel da steht ergibt das nicht viel Sinn.
Pattern Lock kann nur auf unverschlüsselten Android Systemen eingesetzt werden (also technisch ist Verschlüsselung erst ab 3.0 möglich, auf Smartphones somit erst ab 4.0).
D.h. wenn ich zu den Daten kommen möchte, dann geh ich auch sicher nicht auf den Pattern Lock los. Die Daten stehen sowieso unverschlüsselt am Datenspeicher. Ob ich dazu jetzt über den Ausbau (das wird im Artikel angemerkt) oder durch einen anderen Bootloader komme ist eigentlich egal. Tatsache ist, dass alles im Klartext oben steht.
Bei Android 4.0 und bei aktivierter Verschlüsselung kann kein Pattern Lock verwendet werden, sondern nur ein Passwort. Aber hier: Meistens kurz und kein HSM auf Android vorhanden

An dem Tag an dem der Artikel publiziert wurde, gab es im Bundeskanzleramt ein Vortrag von TU-Graz/EGIZ zu Smartphone-Security. (Folien dazu findet man unter http://www.egiz.gv.at/plain/ver... taltungen)

Dort hat Hr. Teufl, zu Android 4 (davor kann man seinen Ausführungen nach gar nicht von Security-Features sprechen) ausgeführt, dass auch die aktuellen Android-4 Telefone kein Hardware-Security-Modul (HSM) verwendet-> Brute-Force (Durchprobieren)-Attacken mit unlimitierten Ressourcen (Server-Farmen) sind möglich sofern physisch auf das Gerät zugegriffen werden kann.

Einfach gesagt: Auch Nicht-Geheimdienste können auf die am Android-4-Handy verschlüsselt gespeicherten Informationen zugreifen, wenn Sie das Handy haben.

Uh danke für den Link :-) da war eine Klammer zu viel:

Darf ich (Peter Teufl) da noch etwas hinzufügen:
-Soll jetzt nicht heißen dass die Methode schlecht ist
-Aber wie Sie eh sagen: Ohne HSM kann man halt recht leicht den Brute Force Angriff auf einem externen Gerät machen. Bei IOS nicht extern möglich da Verschlüsselungskey von PIN und HSM abgeleitet ist.
-Problem ist dass man typischerweise am Smartphone keine langen PINs/Passwörter hat und daher ein BruteForce Angriff schon leichter ist.

bei einem 4stelligen PIN gilt es, bis zu 10.000 kombinationen durchzuspielen, und ein pattern auf einer 3x3 matrix wird auch nicht mehr hergeben. da von brute force zu sprechen ist eigentlich schon eine maßlose übertreibung ;-)

während des Telefonats ist die Codesperre deaktiviert und ich kann alles mögliche mit dem Ding machen.

... wenn ich angerufen wurde und kurz in meinem terminkalender nachschauen will, den bildschirm entsperren.

was ist in bezug auf die umgehbarkeit jetzt speziell an dieser andoid-methode? der bericht suggeriert, dass das irgendwie sicherer wäre als pin-codes, ohne das wirklich konkret zu behaupten.

in wirklichkeit besteht der größte unterschied wohl darin, dass man die wischgesten besser in form von schmierspuren am display nachvollziehen kann. wer etwas vom fbi verstecken will sollte also immer darauf achten, sein display zu putzen. oder pin codes verwenden.

Ich glaube es gibt keine in Massen eingesetzten Datenschutzverfahren welche die amerikanischen Geheimdienste nicht entschlüsseln können.
Die meisten davon sind von ihnen oder in ihrem Auftrag entwickelt worden.

Dass die gerade ein Google-Phone nicht auslesen können, ist lächerlich. Die Firma ist ja praktisch ein Ableger von einer 100% NSA finanzierten Firma.

pgp wurde auch nicht geknackt ;)

ist es unlogisch zu vermelden, dass man einen Code nicht knacken kann, wenn es stimmt.
Denn dann würde ja jeder der Bedenken hat, vom Geheimdienst beobachtet zu werden, genau den verwenden.

Ganz umgekehrt, man kann die dummen Massen (imo maximal Kleinkriminelle) in Sicherheit wiegen. Und eigentlich hat man den "unknackbaren" Code selber entwickelt und über eine Firma veröffentlichen lassen.

Um zB AES-256 zu knacken musst du 2^254.4 ~ 3.82*10^76 Rechenoperationen durchführen. Das dauert auch auf den schnellsten Rechnern der NSA eine Weile. Wenn der schnellste Supercomputer 2*10^17 Operationen pro Sekunde schafft, dann braucht der dafür immer noch 6*10^51 Jahre!

Außer der Geheimdienst hat eine Hintertür, was auf alle da draußen zutrifft.

Es existieren viele AES-256 Implementierungen, deren Sourcecode für jeden frei zur Verfügung steht und auf Hintertüren untersucht werden kann. Bis heute wurde keine gefunden.

Ich glaube nicht daran, dass es eine gute Verschlüsselung gibt, wo die NSA nicht eine Lösung für hat. Vor allem in einer Zeit wo Microsoft und Apple, beide für ihre Kooperation mit der NSA bekannt, praktisch jedes Betriebssystem der Welt stellen. Linux mag bei Datensicherheit eine Ausnahme darstellen.
Wenn auf einem Computer verschlüsselte Files sind, muss der Schlüssel ja irgendwie gespeichert sein, um sie wieder entschlüsseln zu können. Wenn man das Betriebssystem überwacht, was beide genannten Firmen zu einem gewissen Grad tun, kann man diesen Schlüssel zur Abfrage an einer 2. Stelle bereitstellen.

http://blog.zdf.de/hyperland... erschluss/

http://derstandard.at/127733683... Zaehne-aus

http://www.bbc.co.uk/news/uk-e... d-11479831

in dem die Medien meistens lügen... ;)

Die Standard Meldung, dass sich das FBI die Zähne ausbeisst, ist doch unrealistisch. Es wäre nämlich verboten, diese Meldung zu veröffentlichen, weil sie tatsächlich die öffentliche Sicherheit gefährdet, wenn das bekannt wird. Also entweder muss der FBI Whistleblower dafür ins Gefängnis gegangen sein, dann gehört es in den Artikel, oder es ist eine Falschmeldung. Ich tippe auf letzteres.

> "Es wäre nämlich verboten, diese Meldung zu
> veröffentlichen, weil sie tatsächlich die öffentliche
> Sicherheit gefährdet, wenn das bekannt wird"

Du kannst die Wahrheit nicht verbieten. Frag doch mal einen Mathematik Professor ob Kryptographie funktioniert. Sollte er dich anlügen müssen? Mathematische Gesetze gelten auch dann, wenn sie dem Staat nicht gefallen sollten.

Ich behaupte nicht, dass es nicht funktioniert, aber man kann einen Weg herum finden.
Wie ein Hacker im Interview mit Julian Assange auf RT sagte: "ich kann heute nicht 100%ig sagen was ein Apple Mac macht, wenn ich etwas anklicke" (sinngemäß, nicht wörtlich). Also warum sollte der Mac nicht das Passwort für den Fall der Fälle in der NSA-Cloud ablegen? ;)