Ein Fachmann für Sicherheitsfragen von der Johns Hopkins Universität hat nach einer näheren Untersuchung der Robustheit von Handy-Verschlüsselungssystemen eine ernüchternde Bilanz gezogen. Er war regelrecht „schockiert“ von Androids Sicherheit, aber auch iOS habe Sicherheitslücken, die er so nicht vermutet hätte.
Android-Sicherheit mangelhaft: Das sagt der Experte
„Es hat mich wirklich geschockt, weil ich dem Projekt beigetreten bin in dem Glauben, dass diese Telefone Nutzerdaten wirklich gut schützen“ beschreibt der Kryptograph Matthew Green gegenüber Wired. „Jetzt komme ich aus dem Projekt und denke, dass fast nichts so gesichert ist wie es sein könnte“, so Green weiter zur iOS- und Android-Sicherheit.
Das Team, das Green leitete, nutzte öffentlich verfügbare Dokumentationen von Apple und Google sowie die eigenen Analysen, um die Robustheit der iOS- und Android-Verschlüsselung zu bewerten. Hintergrund der Untersuchungen war die global zunehmende Forderung von Strafverfolgunsbehörden nach Hintertüren in Verschlüsselungsschemata, die Userdaten beschützen. Die neue Forschung zeigt nun allerdings, dass es bereits ausreichen Möglichkeiten und Tools gibt, dank den iOS-Sicherheitslücken und der mangelnden Android-Sicherheit.
So schlimm steht es um Android und iOS
„Unter Android können Sie nicht nur auf dem Betriebssystemlevel angreifen, sondern auch verschiedenen Schichten der Software, die auf unterschiedliche Arten verletzbar sind“, lautet das Urteil von Teammitglied Tushar Jois zur Android-Sicherheit. Ihm zufolge können unter Android nicht nur mehr Daten als unter iOS eingesehen werden mit den richtigen Methoden. Die Situation sei aufgrund der zahlreichen Handy-Hersteller, die ihre Geräte mit zusätzlichen und eigenen Android-Implementationen versehen, noch wesentlich komplexer. Dadurch gebe es mehr Versionen, die verteidigt werden müssen.
Aber auch iOS hat Sicherheitslücken, mit denen die Experten so nicht gerechnet haben. Zwar habe das System drei Level an Sicherheit, aber die Gefahr beginne schon nach dem ersten davon. Durch das erste Entsperren eines iPhones nach dem Neustart würden beispielsweise zahlreiche zuvor verschlüsselte Entschlüsselungs-Keys im Schnellzugriffsspeicher abgelegt. An dieser Stelle könnte ein Hacker mit der Ausnutzung der richtigen iOS-Sicherheitslücken Zugang erlangen und Mengen an Daten auf dem iPhone entschlüsseln, selbst wenn es gesperrt ist.
Apple und Google reagieren
Die Sicherheitsexperten haben ihr Erkenntnisse mit Google und Android vor der Veröffentlichung geteilt. Laut einem Apple-Sprecher liegt der Fokus in Sachen Sicherheit jedoch darauf, den Nutzer vor Hackern, Dieben und Kriminellen zu schützen. Die von den Forschern untersuchten Attacken seien dagegen sehr kostenintensiv in der Entwicklung und würden physischen Zugang zum Gerät voraussetzen.
Auch Google betont, dass derartige Angriffe auf Androids Sicherheit nur durch Zugang zu den Geräten und der Existenz der richtigen Fehler zum Ausnutzen möglich ist.