Android-Sperre auch für FBI nicht zu knacken

  • Der Pattern-Screen-Lock bei Android-Geräten ist nicht so leicht zu umgehen.
    foto: derstandard.at/zsolt wilhelm

    Der Pattern-Screen-Lock bei Android-Geräten ist nicht so leicht zu umgehen.

Aktueller Kriminalfall zeigt: US-Ermittler stoßen beim Pattern-Screen-Lock an ihre Grenzen

Der Sperrbildschirm von Smartphones mit Googles Betriebssystem Android lässt sich selbst für Computerforensiker nur schwer umgehen. Dies geht aus einem aktuellen Fallprotokoll des Bundesgerichts in San Diego hervor. Danach habe das FBI bei der Ermittlung gegen einen Zuhälter versucht, dessen Mobiltelefon auszulesen, und sei bereits bei der Passcode-Eingabe gescheitert.

Zeichen und Muster

Ist der Pattern-Screen-Lock eines Android-Geräts aktiviert, müssen zur Entsperrung die angezeigten Punkte in einer bestimmten Reihenfolge verbunden werden. Schlagen die Versuche wiederholt fehl, wird die Eingabe der Nutzer-E-Mail-Adresse und des Passworts verlangt. Laut einem Bericht der Branchenseite Wired haben diverse Sicherheitsexperten die Hartnäckigkeit von Googles Zugriffssperre bestätigt. "Es ist nicht unwahrscheinlich, dass dem FBI die Fähigkeiten zur Entsperrung eines aktiven Geräts fehlen", sagt Virtual-Security-Research-Berater Dan Rosenberg.

Sensible Daten

Eine Möglichkeit, die Daten dennoch auszulesen, sei, die Komponenten der Hardware zu trennen und zu versuchen, den Speicher direkt auszulesen. Dabei laufe man jedoch Gefahr, die möglicherweise sehr wertvollen Informationen zu verlieren. Eine Sprecherin von Logicube betont, dass auch ihre den Behörden verkaufte Forensik-Software nicht bei gesperrten Smartphones greife.

Recht auf Zugriff

Im Fall des gesperrten Android-Smartphones des Zuhälters bleibe wohl kein anderer Weg übrig, als die Hilfe des Betriebssystemherstellers Google in Anspruch zu nehmen. Gegenüber Wired wollte sich der Internetkonzern nicht zu dem Fall äußern, erklärte jedoch, behördliche Anweisungen genau zu prüfen. Rückendeckung erhalten die ermittelnden Behörden von einer Gesetzesregelung in zahlreichen US-Bundesstaaten inklusive Kalifornien, wonach der Zugriff auf ein Handy einer verdächtigten Person ohne Durchsuchungsbefehl erfolgen darf. (zw, derStandard.at, 15.3.2012)

Link

Wired

Share if you care
Posting 1 bis 25 von 233
1 2 3 4 5 6
Unsinn

Jedes Android-Handy kann man auslesen, wenn man es via USB anschließt und neu startet. Wer vertrauliche Daten schützen will, der muss Kryptographie verwenden. Es gibt dazu jede Menge Programme. Z.B. ArchiDroid, Encrypted Notepad, Crypt4All, etc.

"Eine Möglichkeit, die Daten dennoch auszulesen, sei, die Komponenten der Hardware zu trennen und zu versuchen, den Speicher direkt auszulesen."

Also bitte, sofern das Ding gerootet ist, und die FBI Kameraden ein bisschen Ahnung von Android haben werden sie es doch schaffen, per ADB auf den Systeminternen speicher zuzugreifen..

Hat nix mit gerooted zu tun, die Frage ist eher, ob die Debug-Verbindung vom User aktiviert wurde oder nicht.

Schwachsinnsstory

um Smartphone-Nutzern "Sicherheit" vorzuspiegeln.
Einfach lachhaft.

Wenn mans nicht mit einem Fettfinger entsperrt ists tatsächlich nicht so einfach ^^

ich glaube des is a gschichtl !

So wie der Artikel da steht ergibt das nicht viel Sinn.
Pattern Lock kann nur auf unverschlüsselten Android Systemen eingesetzt werden (also technisch ist Verschlüsselung erst ab 3.0 möglich, auf Smartphones somit erst ab 4.0).
D.h. wenn ich zu den Daten kommen möchte, dann geh ich auch sicher nicht auf den Pattern Lock los. Die Daten stehen sowieso unverschlüsselt am Datenspeicher. Ob ich dazu jetzt über den Ausbau (das wird im Artikel angemerkt) oder durch einen anderen Bootloader komme ist eigentlich egal. Tatsache ist, dass alles im Klartext oben steht.
Bei Android 4.0 und bei aktivierter Verschlüsselung kann kein Pattern Lock verwendet werden, sondern nur ein Passwort. Aber hier: Meistens kurz und kein HSM auf Android vorhanden

Achtung Propaganda!

An dem Tag an dem der Artikel publiziert wurde, gab es im Bundeskanzleramt ein Vortrag von TU-Graz/EGIZ zu Smartphone-Security. (Folien dazu findet man unter http://www.egiz.gv.at/plain/ver... taltungen)

Dort hat Hr. Teufl, zu Android 4 (davor kann man seinen Ausführungen nach gar nicht von Security-Features sprechen) ausgeführt, dass auch die aktuellen Android-4 Telefone kein Hardware-Security-Modul (HSM) verwendet-> Brute-Force (Durchprobieren)-Attacken mit unlimitierten Ressourcen (Server-Farmen) sind möglich sofern physisch auf das Gerät zugegriffen werden kann.

Einfach gesagt: Auch Nicht-Geheimdienste können auf die am Android-4-Handy verschlüsselt gespeicherten Informationen zugreifen, wenn Sie das Handy haben.

Uh danke für den Link :-) da war eine Klammer zu viel:

Darf ich (Peter Teufl) da noch etwas hinzufügen:
-Soll jetzt nicht heißen dass die Methode schlecht ist
-Aber wie Sie eh sagen: Ohne HSM kann man halt recht leicht den Brute Force Angriff auf einem externen Gerät machen. Bei IOS nicht extern möglich da Verschlüsselungskey von PIN und HSM abgeleitet ist.
-Problem ist dass man typischerweise am Smartphone keine langen PINs/Passwörter hat und daher ein BruteForce Angriff schon leichter ist.

bei einem 4stelligen PIN gilt es, bis zu 10.000 kombinationen durchzuspielen, und ein pattern auf einer 3x3 matrix wird auch nicht mehr hergeben. da von brute force zu sprechen ist eigentlich schon eine maßlose übertreibung ;-)

Mann muss doch nur das Telefon anrufen...

während des Telefonats ist die Codesperre deaktiviert und ich kann alles mögliche mit dem Ding machen.

also bei meinem nexus s mit ics muss ich ...

... wenn ich angerufen wurde und kurz in meinem terminkalender nachschauen will, den bildschirm entsperren.

1:0 für Android :)

suggestiver aufmacher

was ist in bezug auf die umgehbarkeit jetzt speziell an dieser andoid-methode? der bericht suggeriert, dass das irgendwie sicherer wäre als pin-codes, ohne das wirklich konkret zu behaupten.

in wirklichkeit besteht der größte unterschied wohl darin, dass man die wischgesten besser in form von schmierspuren am display nachvollziehen kann. wer etwas vom fbi verstecken will sollte also immer darauf achten, sein display zu putzen. oder pin codes verwenden.

wer's glaubt wird seelig

Ich glaube es gibt keine in Massen eingesetzten Datenschutzverfahren welche die amerikanischen Geheimdienste nicht entschlüsseln können.
Die meisten davon sind von ihnen oder in ihrem Auftrag entwickelt worden.

Dass die gerade ein Google-Phone nicht auslesen können, ist lächerlich. Die Firma ist ja praktisch ein Ableger von einer 100% NSA finanzierten Firma.

pgp wurde auch nicht geknackt ;)

Aus der Sicht eines Geheimdienstes

ist es unlogisch zu vermelden, dass man einen Code nicht knacken kann, wenn es stimmt.
Denn dann würde ja jeder der Bedenken hat, vom Geheimdienst beobachtet zu werden, genau den verwenden.

Ganz umgekehrt, man kann die dummen Massen (imo maximal Kleinkriminelle) in Sicherheit wiegen. Und eigentlich hat man den "unknackbaren" Code selber entwickelt und über eine Firma veröffentlichen lassen.

Kryptographie funktioniert

Um zB AES-256 zu knacken musst du 2^254.4 ~ 3.82*10^76 Rechenoperationen durchführen. Das dauert auch auf den schnellsten Rechnern der NSA eine Weile. Wenn der schnellste Supercomputer 2*10^17 Operationen pro Sekunde schafft, dann braucht der dafür immer noch 6*10^51 Jahre!

Außer der Geheimdienst hat eine Hintertür, was auf alle da draußen zutrifft.

Hintertür

Es existieren viele AES-256 Implementierungen, deren Sourcecode für jeden frei zur Verfügung steht und auf Hintertüren untersucht werden kann. Bis heute wurde keine gefunden.

Ich glaube nicht daran, dass es eine gute Verschlüsselung gibt, wo die NSA nicht eine Lösung für hat. Vor allem in einer Zeit wo Microsoft und Apple, beide für ihre Kooperation mit der NSA bekannt, praktisch jedes Betriebssystem der Welt stellen. Linux mag bei Datensicherheit eine Ausnahme darstellen.
Wenn auf einem Computer verschlüsselte Files sind, muss der Schlüssel ja irgendwie gespeichert sein, um sie wieder entschlüsseln zu können. Wenn man das Betriebssystem überwacht, was beide genannten Firmen zu einem gewissen Grad tun, kann man diesen Schlüssel zur Abfrage an einer 2. Stelle bereitstellen.

in dem die Medien meistens lügen... ;)

Die Standard Meldung, dass sich das FBI die Zähne ausbeisst, ist doch unrealistisch. Es wäre nämlich verboten, diese Meldung zu veröffentlichen, weil sie tatsächlich die öffentliche Sicherheit gefährdet, wenn das bekannt wird. Also entweder muss der FBI Whistleblower dafür ins Gefängnis gegangen sein, dann gehört es in den Artikel, oder es ist eine Falschmeldung. Ich tippe auf letzteres.

> "Es wäre nämlich verboten, diese Meldung zu
> veröffentlichen, weil sie tatsächlich die öffentliche
> Sicherheit gefährdet, wenn das bekannt wird"

Du kannst die Wahrheit nicht verbieten. Frag doch mal einen Mathematik Professor ob Kryptographie funktioniert. Sollte er dich anlügen müssen? Mathematische Gesetze gelten auch dann, wenn sie dem Staat nicht gefallen sollten.

Ich behaupte nicht, dass es nicht funktioniert, aber man kann einen Weg herum finden.
Wie ein Hacker im Interview mit Julian Assange auf RT sagte: "ich kann heute nicht 100%ig sagen was ein Apple Mac macht, wenn ich etwas anklicke" (sinngemäß, nicht wörtlich). Also warum sollte der Mac nicht das Passwort für den Fall der Fälle in der NSA-Cloud ablegen? ;)

Posting 1 bis 25 von 233
1 2 3 4 5 6

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.