Quelle: https://www.tech.de/news/riesige-sicherheitsluecke-bei-android-smartphones-entdeckt-10091583.html

Autor: Martin Grabmair

Datum: 04.07.2016

Sicherheit

Riesige Sicherheitslücke bei Android-Smartphones entdeckt

Ein Sicherheitsexperte konnte zwei Sicherheitslücken in Android nutzen, um den Hauptschlüssel für die „Full Disk Encryption“ auszulesen. Auf diese Weise kann die Verschlüsselung eines beinahe jeden Android-Smartphones mit Qualcomm-Prozessor ausgehebelt werden. Denn da viele Nutzer nur kurze Passwörter wählen, dürfte es nur Stunden dauern, bis Hacker mittels eine Bruteforce-Attacke an das jeweilige Passwort gelangen.

In Android wurde eine große Sicherheitslücke entdeckt. Einem Sicherheitsexperten ist es gelungen den Hauptschlüssel für die Verschlüsselung des Speichers von Android-Smartphones zu extrahieren. Alle Android-Smartphones mit einem Qualcomm-Prozessor sind auf diese Weise verwundbar. Sollten Nutzer die Speicherverschlüsselung ihres Androiden aktivieren, sodass niemand auf die Daten zugreifen kann, können sie sich nicht darauf verlassen, dass Hacker oder Sicherheitsbehörden nicht doch an die Daten gelangen können, indem sie einfach den Hauptschlüssel auslesen.

Google muss unbedingt Android-Sicherheitslücke schließen

Der Experte Gal Beniamini hat zwei Sicherheitslücken in Android ausgenutzt, die bereits seit Android 5.0 Lollipop existieren. Ist der gerätegebundene Hauptschlüssel erst einmal extrahiert, haben Hacker zwar noch keinen Zugang zu den Daten. Allerdings können sie dann eine Bruteforce-Attacke auf den Schlüssel anwenden, um das Passwort zu ermitteln. Sicherheitsvorkehrungen, die verhindern sollen, dass innerhalb einer Sekunden mehrere tausend Versuche unternehmen werden, sind ausgehebelt, weil sich der Schlüssel nicht mehr auf dem Gerät befindet. Zwar kann auch unter diesen Umständen eine Bruteforce-Attacke mehrere Monate oder gar Jahre dauern, allerdings nur, wenn das Passwort lange genug (mehr als 12 Zeichen) ist und außerdem nicht nur aus Zahlen und Buchstaben, sondern auch aus Sonderzeichen besteht. Das ist bei Smartphone-Passwörtern aber so gut nie der Fall. Beniamini schätzt, dass das Passwort der „Full Disk Enryption“ deshalb in den meisten Fällen innerhalb weniger Stunden geknackt werden kann – ausreichend Rechenleistung vorausgesetzt.

Betroffen sind so ziemlich alle Android-Smartphones der höheren Preisklasse, da die meisten Hersteller, auch Samsung, auf einen Qualcomm-SoC setzen.