Mike Kuketz
5. Juli 2016 | 10:56 Uhr

Android: Qualcomm und die Geräteverschlüsselung

Bei den meisten mittel- und hochklassigen Android-Geräten werden Qualcomm-Chips verbaut. Durch eine Schwachstelle können Angreifer die Geräteverschlüsselung bei den betroffenen Geräten nun leichter aushebeln. Welche Praxisrelevanz hat das nun?

Ein vereinfachtes Beispiel:
Angenommen euer Sperrcode ist »1234«. Euer Gerät fügt bei der Aktivierung der Vollverschlüsselung dann noch einen weiteren Software-Schlüssel (Master-Key), der vom Qualcomm-Chip vorgegeben wird, hinzu. Das Ergebnis: 1234w7XBmkRvZRQif6UwMWHy

Im Idealfall ist der hintere Teil geheim und lässt sich nicht vom Gerät extrahieren. Zum Entsperren des Geräts wird nun euer Sperrcode abgefragt und mit dem Master-Key verknüpft. Wer sich also Zugang zu eurem Gerät verschaffen möchte, der muss euren Sperrcode erraten und den damit verknüpften Master-Key kennen. Für einen Angreifer bedeutet das im Normalfall: Der Brute-Force-Angriff zum Durchprobieren aller möglichen Passwort-Kombinationen muss direkt auf dem Gerät erfolgen – weil der Master-Key eigentlich nicht vom Gerät auslesbar sein sollte. Die vorgestellte Schwachstelle macht es nun möglich eben jenen Master-Key zu extrahieren. Das bedeutet: Der Brute-Force-Angriff muss nun nicht mehr direkt auf dem »langsamen« Gerät durchgeführt werden, sondern kann auf externe Rechner-Cluster ausgelagert werden. Insbesondere Geheimdienste und Strafverfolgungsbehörden dürften sich darüber freuen.

Wie kann man sich davor schützen? Ich kann aktuell nicht beurteilen, ob sich die Schwachstelle durch ein Software-Update beseitigen lässt. Tatsächlich helfen können nur Sperrcodes, die mindestens 12 oder besser aus 16 Zeichen bestehen. Selbst wenn jemand an den Master-Key des Geräts gelangt, muss er noch immer eine Menge Rechenaufwand betreiben, um an das Nutzerpasswort zu gelangen.

Übrigens hat das Apple besser gelöst. Hier ist der Master-Key ein Unique ID key, der direkt in die Hardware »gebrannt« wurde. Bisher hat es offenbar niemand geschafft diesen Hardware-Schlüssel auszulesen.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡
Ähnliche Beiträge
Android-Einstellungen
13. Dezember 2017

Konfigurationsempfehlungen – Android unter Kontrolle Teil5

Mit den richtigen (System-)Einstellungen lässt sich sowohl die Sicherheit, als auch Privatsphäre auf Android verbessern.
Android-Einstellungen
4. September 2019

Android-Systemeinstellungen & Google-Fallstricke – Take back control! Teil8

Mit den richtigen (System-)Einstellungen lässt sich sowohl die Sicherheit, als auch Privatsphäre auf Android verbessern - No more Google!
CalyxOS
10. Februar 2023

CalyxOS: De-Googled geht anders – Custom-ROMs Teil2

Die Analyse des Datensendeverhaltens zeigt: CalyxOS ist leider nicht so de-googled, wie man vermuten würde.
Airgeddon
6. Mai 2019

Airgeddon: Wie WLANs gehackt werden und wie man sich davor schützt

Airgeddon: Das Hacken von WLANs ist einfacher als viele glauben. Mit einfachen Maßnahmen kann man sich davor schützen.
App-Security-Checklist
26. April 2021

Android: Security-Checkliste für sichere App-Entwicklung

Um die Daten der Nutzer/Kunden bestmöglich zu schützen, sollte man sich als Verantwortlicher bereits vor der Entwicklung einer App mit wichtigen Sicherheitsfragen auseinandersetzen.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.