Forscher: Hacker können Android-Verschlüsselung leicht umgehen

29. Juli 2012, 13:07

Android nutzt dasselbe Passwort für die Entsperrung des Geräts und die Entschlüsselung der Daten

Sicherheitsforscher haben auf der Hackerkonferenz Defcon gewarnt, dass die Verschlüsselung von Googles mobilem Betriebssystem leicht umgangen werden kann. Schuld daran sei jedoch kein Leck im Systemcode, sondern die Nachlässigkeit vieler User bei der Wahl des Passworts, berichtet All-Things-D-Bloggerin Ina Fried.

Schwache Passwörter

Dasselbe Passwort, das unter Android für das Entsperren eines Geräts genutzt wird, kommt auch bei der Verschlüsselung zum Einsatz. Viele User würden hier zu einfachen PIN-Codes oder Passwörtern tendieren, um ihr Gerät schnell für die Nutzung freigeben zu können.

Brute-Force-Angriff möglich

Die unter Android 3.0 eingeführte Verschlüsselung sei gut, könne aber mit einer Brute-Force-Attacke ausgehebelt werden, sagte Thomas Cannon, Chef der Forschungs- und Entwicklungsabteilung von Viaforensics, am Samstag auf der Hackerkonferenz. Dabei wird mithilfe eines Programms das Passwort erraten. Möglich sei das unter Android allerdings nur bei entsperrtem Bootloader, so Cannon.

Unterschiedliche Codes als Lösung

Als Sicherheitsmaßnahme solle Google zwei unterschiedliche Passwörter für die Entschlüsselung des Smartphones und die Gerätesperre einführen. Nähere Informationen zur Methode ist in der Präsentation nachzulesen, die auf der Website des Unternehmens zur Verfügung steht. (red, derStandard.at, 29.7.2012)

Share if you care
Posting 1 bis 25 von 52
1 2
Brute-Force

das "hacken" der Armen.

Skandal! iOS ist unsicher!

Habe auf allen meinen Apple-Geräten die selbe Apple ID mit dem selben Passwort und musste es noch nie ändern!

Was bitte sollen solche Artikel?
Nutzer nehmen eben oft leichtfertige, mit brute force erratbare Passwörter. (btw. meines geht damit sehr wahrscheinlich nicht leicht)

Viel wahrscheinlicher ist aber, dass das selbe Passwort sonst noch irgendwo verwendet wurde - und der schlaue Admin dort unverschlüsselt abspeichert, während seine betreute Website von irgendeinem 16 jährigem mit einer SQL-injection gehackt werden kann...
Das ist die wahre Sicherheitslücke - nicht Android, nicht iOS.

PS: Bei Android braucht man noch dazu einen entsperrten Bootloader.

Ja, und weiter? Damit kann man schnellstmöglich, ohne das Handy zu entsperren, ein Foto schießen. Mehr aber auch nicht.

Brute-Force funktioniert immer - Zeitaufwand ist die Frage

Zum Artikel: http://www.cornblogs.de/dummfug/i... almkzm.jpg

es fehlt der hinweis darauf, dass das eben bezahlte werbung von apple war

Umgehen?

Bei einer brute force Attacke von "umgehen" zu schreiben, ist nicht nur technisch ziemlich falsch.

Da könnte man genauso gut behaupten, Alarmanlagen wären unsicher, weil man Hauswände ja auch einfach wegsprengen kann.

das kommt davon wenn die apple front den titel wählt... ^^

Jaja,

irgendwie schon logisch, jeder User würde durchdrehen, wenn er sich 2 Codes merken müsste; klingt jetzt blöd, würde aber sicher vielen mit der Zeit auf die Nerven gehen!

Der Titel des Artikel ist irreführend

denn schließlich sind ja die schwachen Passwörter verantwortlich und nicht Android, wie man beim lesen des Titel suggeriert bekommt. Vielleicht ändert Google ja das System dahingehend, dass man nicht dasselbe Passwort zu verschlüsseln und entsperren benutzen kann. Pattern lock geht übrigens nicht wenn man sein Android -Phone verschlüsseln möchte, es stehen nur Passort oder pin zu Auswahl, was ich nicht ganz verstehe.

fragenan experten unter den postern

ich sperre den zugang mit einem pattern.ist das komplett sicher?

erst vor ein paar Monaten war hierzu ein Bericht

http://derstandard.at/133177968... zu-knacken

der Lockscreen kann man als sehr sicher betrachten.

und ganz so einfach mit Recovery-Mode wie unten beschrieben scheint es nicht zu sein ;)

pattern ist am sichersten, jedoch

sollte USB debugging dabei deaktiviert sein. Ist es aktiviert kann auch pattern mittels brut force gelesen werden.
Also nicht Android ist unsicher, sondern die Wahl des Users wie viel er auf Android zulässt

solange die Daten nicht nicht verschlüsselt sind leider nein.
Ich kann einfach den Recoverymode starten, eines System flashen und Handy starten.
Mal davon abgesehen, sind deine Daten wahrscheinlich auf der SD Karte. Die kann ich einfach rausziehen und am PC/Notebook auslesen wenn diese nicht verschlüsselt ist.

Definitiv nicht. Ziehen Sie das Handy aus der Tasche, halten Sie es in einem flachen Winkel zum Licht und Sie sehen ... eine Schmierspur von den Fingern.

in der tat die seh ich, aber die hat mit der entsperr geste wenig gemein.

Man wischt ja am Display nur zum Entsperren.

Oh Herr erleuchte mich

was kann ein Betriebssystem dafür, wenn User schwache Passwörter verwenden?

Aber hauptsache man "umgeht" die Verschlüsselung...

Titel: "Forscher: Hacker können Android-Verschlüsselung leicht umgehen"

Im Artikel: Die machen Brute-Force

Gratulation zum Titel.

und Brute-Force heißt ausprobieren

muß man dazu sagen ;)

also ich hab mir irgendein langes pseudowort ausgedacht und dieses dann swype beigebracht. beim entsperren ist das dank swype schnell eingegeben ....

wird dadurch das passwort nicht wesentlich unsicherer?

Naja angenommen es wäre "Leberkassämmel" und irgendjemand bekommt zugriff auf mein Swype Wörterbuch und denkt sich, ha das muss ein Passwort sein, dann vielleicht schon ;-)

Es sind ja einige Dialektwörter mit Umlauten gespeichert ...

nein, ich mein von der passwortstärke her ...

naja ich kann Swype ja alles mögliche beibringen.

Ich kann z.b. eine Fakeemailadresse speichern und als passwort verwenden. wie z.b.:

möglicheadresse@würschtl.com

Das wär ja schon kein schlechtes Passwort oder?

Mein Mac verwendet auch automatisch das Login-PW als PW für die Verschlüsselung der Festplatte. Es kommt nur auf die Stärke des Passwortes an...

Posting 1 bis 25 von 52
1 2

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.