Lock-Pattern lässt sich durch Fingerspuren knacken

[lutzwohlfarth]

Wenn das Smartphone entwendet wird, dann hat man Probleme, denn wenn ich wirklich die Absicht habe die Daten da runterzubekommen, dann kann ich das bei fast jedem Handy und Smartphone. Sei es WinMo, Symbian, Android oder iPhone. Bei fast allen Smartphones und Handys werden die Daten nicht verschlüsselt und werden im Klartext in einen Datenbereich gespeichert.

Vollkommen korrekt und eine Möglichkeit einer transparenten Verschlüsselung entweder über verschlüsselte Container oder Partitionen auf der µSD-Karte fehlt leider - hab jedenfalls noch nichts gefunden (siehe meine ersten Postings).

Wenn ich an die Daten von Windows will, dann starte ich über die Platte nicht Windows, sondern ich nehme ein fremdes System und greife die Daten ab.

Gerade für den PC und Notebook gibt es ja jede Menge Verschlüsselungsmöglichkeiten (kommerzielle/kostenlose/opensource) und wer die nicht einsetzt ist selber Schuld (siehe zwei/drei Postings weiter oben).

Für Android brauchen wir aber erst Mal solche Lösungen und dann hat jeder die persönliche Entscheidung "will ich sowas einsetzen oder nicht" - diese Entscheidungsfreiheit fehlt zur Zeit.

Mein E71, welches eine Vollverschlüsselung von internen Speicher und SD Karte hatte (dafür hatte es extra einen Verschlüsselungschip), war auch nicht sicher. Da hat es bei der Umsetzung der Verschlüsselung gehapert.

Okay, das ist natürlich dann auch ein Problem, wie auch immer wieder bei "angeblich" hardwareverschlüsselten USB-Festplatten gezeigt wird.

Ich setzte da lieber auf reine Softwarelösung, die aber von einer Menge der bekannten Sicherheitsexperten (zu denen ich mich zweifelsohne nicht zähle) mehrmals geprüft sind a la dm-crypt/cryptsetup/luks - und selbst da kann man sich nicht 100%ig sicher sein, dass nicht das nächste Update eine Lücke reist.

 

[lutzwohlfarth]

Aber da wird sich Google was einfallen lassen. Android verbessert sich mit jedem Upgrade stark.

Das möchte ich sogar noch unterstreichen, Google oder besser die Open Handset Alliance muss sich was einfallen lassen, lieber gestern als morgen!

Nur wie dieser Thread auch zeigt, ist das offensichtlich nicht die vorherrschende Meinung.

Auch wenn es hier vielleicht nicht deutlich wird, ich mag mein kleines Android-Phone und habe große Hoffnung je verbreiteter Android wird, oder im schlimmsten Fall - wenn das Botnet kommt - wird sich etwas tun und echte Alternativen gibt es für mich z.Z. nicht.

 

[Finsinger]

Aunch wenn viele einer Meinung sind, koennen alle falsch liegen

Na DAS ist doch mal ein konstruktiver Beitrag, der seinesgleichen sucht.

Warum sind wir anderen da nicht gleich draufgekommen..?

 

[Finsinger]

Die einen nennen es Paranoia, die anderen gesunder Menschenverstand...



Um die Diskussion nicht zum Blackberry abdriften zu lassen, nur zwei Links, dann sollte in dem Fall alles gesagt sein:

heise online - Blackberry-Sperre in Saudi-Arabien abgewendet

Blackberry-Sicherheit: Macht RIM Indien Zugeständnisse? | heise mobil

Okay, das Telkos oder Vater Staat bei uns überall reingucken kann, darüber regt sich leider viel zu Leute auf, aber das ist nun wirklich OT.



Falsch, ich hab nur geschrieben, dass ich Linux-User bin (Windows benutze ich allerdings auch, je nach Anwendungsfall) und Android am ehesten meinem Verständnis nach freier Software entspricht. Und zur Ergänzung, damit klar ist wie ich das meine: Immerhin sind weite Teile von Android offen gelegt. Das ich Linux 1:1 mit Android gleichzusetzen steht nirgends und ist auch nicht so. Und nein ich meine nicht, dass GNU/Linux (um es korrekt zu sagen) von Anfang an all seine heutigen Sicherheitsfeatures innehatte. Aber seit dem sind rund 18 Jahre vergangen und die IT-Branche hat sich rasant weiterentwickelt, so dass man (meine persönliche Meinung) heutzutage, bei einem neu konzipierten System einfach ein paar Standards voraussetzen darf - oder etwa nicht?



„Just because you’re paranoid doesn’t mean they’re not after you“
(Nur weil du paranoid bist, heißt das nicht, dass sie nicht hinter dir her sind)
von Henry Kissinger



Sag ich Dir gerne, schwankt aber sicher von Nutzer zu Nutzer.
Für mich fängt es bei Kontaktdaten (Adressen, Mail-Adressen) von Familie, Freunden Geschäftspartnern an, geht über diverse Zuganscodes zu Onlineresourcen weiter zu gespeicherten GPS-Tracks die nicht für Öffentlichkeit gedacht sind (hab auch welche, die ich veröffentliche) und hört bei Daten für Geldgeschäfte (Onlinebanking etc.) noch lange nicht auf...

Für sensible E-Mails gibt's ja zum Glück APG.



Sei froh, wenn Du jedem Menschen vertraust und nicht mit Fremden oder gar Kunden in Kontakt kommst ;-)



Wenn Du mich immer noch nicht verstanden hast kann ich Dir auch nicht mehr helfen.

Sorry, aber letztendlich hast Du in meinen Augen einen kompletten Denkfehler. Du lobst das Open Source in die höchsten Höhen, aber wie soll da unangreifbare Sicherheit herrschen, wenn der Quellcode offenliegt..?

Ob Du nun meinst, mir helfen zu können oder nicht, ist mir auch ehrlich gesagt einerlei. Ich nehm mich vielleicht nicht so wichtig wie Du Dich selbst, das mag der Hauptunterschied sein und da werden wir sicher nicht auf einen gemeinsamen Nenner kommen.

Bankgeschäfte am Handy... Sorgloser geht´s ja wohl kaum.

 

[Kranki]

Sorry, aber letztendlich hast Du in meinen Augen einen kompletten Denkfehler. Du lobst das Open Source in die höchsten Höhen, aber wie soll da unangreifbare Sicherheit herrschen, wenn der Quellcode offenliegt..?

Wenn ein System nur sicher ist, wenn ein Angreifer nicht weiß, wie es arbeitet, dann ist es nicht sicher. Security through Obscurity kann höchstens eine zusätzliche Ebene sein, die verzögert, dass Sicherheitslücken gefunden werden, aber bei einem sicheren System sollte es egal sein, was ein Angreifer über den Aufbau weiß.

 

[Finsinger]

Mmm.. Hat ja schon fast was philosophisches....

Ich glaub, ich klink mich hier mal aus aus der Diskussion, dürfte zu nichts führen. Einem System Eigenschaften zuzusprechen, die es (noch) nicht hat, hat für mich schon was von Wunschdenken.

Ich finde Android ja auch sympathisch, sonst hätte ich mir kein solches Handy zugelegt, aber ich muss ihm deshalb doch nicht Eigenschaften zusprechen, die es nicht hat, oder?

Also meine lieben, schlagt Euch schön weiter die Köpfe ein oder gegenseitig auf die Schulter, für mich geht Ihr einfach ein wenig an der Realität vorbei.

 

[lutzwohlfarth]

Sorry, aber letztendlich hast Du in meinen Augen einen kompletten Denkfehler. Du lobst das Open Source in die höchsten Höhen, aber wie soll da unangreifbare Sicherheit herrschen, wenn der Quellcode offenliegt..?

Schon mal von "Security by Obscurity" gehört oder gelesen?
Security through obscurity ? Wikipedia

Die Sicherheit von Verschlüsselungsalgorithmen kann mathematisch nachgewiesen werden (ich kann's nicht). Wenn eine Sicherheits-/Verschlüsselungssoftware offen liegt, kann von Sicherheitsexperten (ich bin keiner) geprüft werden ob Fehler bei der Implementierung von vermeintlich sicheren Algorithmen gemacht wurden oder eher nicht. Bei closed Software bin ich einzig und allein auf das Versprechen des Herstellers angewiesen, dass zum einen wirklich der Algorithmus, der beworben wird eingesetzt wird und das alles sauber und ohne Hintertüren implementiert wurde.

 

[Kranki]

Mmm.. Hat ja schon fast was philosophisches....

Ich glaub, ich klink mich hier mal aus aus der Diskussion, dürfte zu nichts führen. Einem System Eigenschaften zuzusprechen, die es (noch) nicht hat, hat für mich schon was von Wunschdenken.

Ich finde Android ja auch sympathisch, sonst hätte ich mir kein solches Handy zugelegt, aber ich muss ihm deshalb doch nicht Eigenschaften zusprechen, die es nicht hat, oder?

Also meine lieben, schlagt Euch schön weiter die Köpfe ein oder gegenseitig auf die Schulter, für mich geht Ihr einfach ein wenig an der Realität vorbei.

Das hat mit Android speziell gar nichts zu tun, sondern ganz allgemein mit dem Entwurf sicherer Systeme und Verschlüsselungen jedweder Art. Das geht ins 19. Jahrhundert zurück.

 

[mccrain]

Dazu gibt´s im entsprechenden Forum auch schon nen Thread, in dem alle, die sich auskennen, unisono der Meinung sind, dass RIM da nicht einknicken kann und auch nicht wird.

Natürlich wird RIM als einziger Anbieter weltweit nicht einknicken!
Vielleicht wird das auch die offizielle Stellungnahme nach den Verhandlungen sein. Die anderen Anbieter brüllen ja auch nicht in die Wlet hinaus, dass sie Zugang bieten (müssen).

RIM hat auch ab und zu seine Probleme!
Warnung vor gefährlicher Sicherheitslücke bei Blackberry - teltarif.de News

Aber seit dem sind rund 18 Jahre vergangen und die IT-Branche hat sich rasant weiterentwickelt, so dass man (meine persönliche Meinung) heutzutage, bei einem neu konzipierten System einfach ein paar Standards voraussetzen darf - oder etwa nicht?

Du darfst es zwar voraussetzen ;-) , die Hersteller könnten es anbieten wenn es sich lohnen würde, aber da es die Masse, nicht bis wenig bisher UND in Zukunft interessiert, wird man als "Hast-wohl-was-zu-verbergen"-Mensch nur die Hoffnung auf Nieschenprodukte/-apps haben.

Zusätzlich zu Deinen Aufgezählten, zähle ich auch meine Bilder zu den sensiblen Daten dazu!

Dazu muss man auch sagen, dass Probleme immer leicht anzuprangern sind. Lösungsansätze wären hilfreicher. Android als einziges System anzuprangern macht kein Sinn, dann kauft man sich ein anderes OS und das gleiche Problem.

Niemand hat Android angeprangert sondern eine Lücke zur allgemeinen Info aufgezeigt! Ja, wäre doch Klasse wenn noch mehr Interessierte hier Lösungsvorschläge präsentieren würden.
Gibt es noch andere Homescreensperrmöglichkeiten für 1.6-2.1?

 

[mccrain]

Sorry, aber letztendlich hast Du in meinen Augen einen kompletten Denkfehler. Du lobst das Open Source in die höchsten Höhen, aber wie soll da unangreifbare Sicherheit herrschen, wenn der Quellcode offenliegt..?

Bankgeschäfte am Handy... Sorgloser geht´s ja wohl kaum.

Ich denke, der Denkfehler liegt hier bei Dir. OpenScource und Sicherheit schließen sich nicht aus.
Auch, was haben Bankgeschäfte mit Sorglosigkeit zu tun. Selbst die Sparkasse bietet ein App an und wenn die Daten per https gesendet werden ist es genauso "gefährlich" wie am PC.

 

[gado]

Niemand hat Android angeprangert sondern eine Lücke zur allgemeinen Info aufgezeigt!

Fettflecken auf einem Touchscreen ist für mich keine Sicherheitslücke. Was soll da getan werden? Wie schon gesagt, egal welche Eingabe du tätigst, es kann immer nachvollzogen werden, wenn das Display nicht mit einem Fettlöser gereinigt wird (was sicherlich nicht gut für die Beschichtung ist). Bei PIN ist es auch sichtbar. Da müsste man auch erst ganz oft im Tastatur Bereich tippen, damit man es nicht mehr nachvollziehen kann. Man gibt danach nicht unbedingt was über die Tastatur ein. Man guckt z.B kurz, ob man Nachrichten hat. Bei den Lockpattern kann man dann halt zusätzliche Fettspuren ziehen. Das Problem haben alle Geräte mit Touchinput. Soweit geht diese Meldung dann auch schon zurück und bis heute gibt es kein Display, was dieses verhindert. Wie man das auf Displayseite erreichen will fällt mir gerade auch nicht ein.

Man könnte die Kamera zum entsperren nehmen, indem man bestimmte Symbole auf einem Blatt fotografieren muss. Man kann die Iris scannen. Man kann sich noch viel mehr unpraktische Sachen ausdenken, die aber keiner nutzen will, da sie nicht immer funktionieren oder sehr unpraktisch sind. Wie gesagt das Lockpattern, PIN Eingabe, Iris Scan, Symbole fotografieren usw. ist so sicher wie der Windows Login Screen, es bietet gar keine Sicherheit, außer Leute für kurze Zeit davon abzuhalten.

Wie schon gesagt, diese Sperre soll auf kurze Zeit Leute abhalten und das tut sie sehr gut. Die Leute, die wirklich an die Daten wollen, gehen da ganz anders dran. Da fängt dann wieder eine andere Diskussion über Verschlüsselung usw. an. Deswegen verstehe ich nicht so ganz, was uns diese Info jetzt bringen soll (nebenbei wie Kranki schon sagte, ist das nicht die erste Meldung über Fettflecken auf einem Display).

Aber nun gut, dann soll es nur eine kurze Info sein.

 

[lutzwohlfarth]

Hier wird das Lockpattern völlig falsch verstanden. Es dient dazu, Fremden den Zugriff zu verwehren, wenn man es kurz liegen lässt.

Wo finde ich diese Definition in den offiziellen Android-Dokumenten oder dem Developer's Guide?

Fettflecken auf einem Touchscreen ist für mich keine Sicherheitslücke.

Mag sein, aber es kann unter Bestimmten Umständen für den einen oder anderen doch zu einem Problem werden. - Und ich bin mir sicher, dass hier in diesem Forum, auch wenn das Thema evtl. schon besprochen wurde (finde nix entsprechendes per Suchfunktion) sich nicht jeder diesem Umstand:
"Fingerspuren können verräterisch sein, auch wenn sie mit bloßem Auge nicht mehr erkennbar sind!"
bewusst ist.

Und egal ob das Thema schon irgendwann evtl. besprochen wurde, bin ich mir sicher, dass die verlinkte PDF mit Sicherheit hier noch nicht erwähnt wurde. - Neues für mich interessantes Dukument >> neuer Thread, da es vielleicht auch andere Leute gibt, die das interessiert. - Oder sollte dieses Forum hier tatsächlich anders funktionieren?

Was soll da getan werden?

Eventuell nichts, aber jeder der ein entsprechendes Gerät benutzt sollte sich dessen bewusst sein.

Dazu muss man auch sagen, dass Probleme immer leicht anzuprangern sind. Lösungsansätze wären hilfreicher. Android als einziges System anzuprangern macht kein Sinn, dann kauft man sich ein anderes OS und das gleiche Problem.

Wie schon jemand geschrieben hat, wird hier kein System angeprangert, aber dieses Forum ist doch ein Android-Forum und die meisten User hier haben mindestens ein Android-Smartphone - warum soll ich dann hier über Probleme beim z.B. iPhone schreiben?

Und Probleme anprangern, naja, ich weiß ja nicht - wenn man über diverse Sachen nicht schreiben, reden, berichten soll - was bleibt da für so ein Forum wie das hier noch - Jubelperser gibt's woanders genug und kostenlose Werbung für den/die Hersteller, dass kann's imho nicht sein?

Aber, wenn Du Lösungsansätze möchtest, wie wäre es mit einer besonderen Beschichtung, so etwas ähnliches, vielleicht noch etwas weiterentwickelt:
A Smudge-Free Smart Phone Screen? - US News and World Report

 

[gado]

Wo finde ich diese Definition in den offiziellen Android-Dokumenten oder dem Developer's Guide?

Wenn keine weitreichenden Mechanismen vorhanden sind, die das Auslesen der Daten verhindert (nur über Verschlüsslungen möglich), dann sagt einem der Menschenverstand, dass man dieses "Schloss" nur als temporären Sichtschutz benutzen kann. Genauso ist der Login bei Windows nur ein Sichtschutz, mit einer Boot CD ist das Passwort nach Tastendruck in ein paar Millisekunden entfernt. Das sagt mir auch, dass es nur dafür da ist, dass irgendwelche Leute nicht mal eben dran können, sondern erst eine Boot CD in den PC stecken müssten und kurz warten müssten. Dazu müssten sie noch das Wissen haben. Bei einem verschwunden Handy, weiß man aber nicht, wer es in die Hand bekommt und man kann nur hoffen, dass der Finder oder Dieb nicht weiß wie man das umgeht.

Drücke ich es mal so aus. Ich weiß, dass meine Daten offen liegen, egal, ob ich jetzt das Lockpattern von Android nehme, ob ich den Login Screen von Windows nehme oder sonstige Sichtschutz Maßnahmen. Ich weiß nicht wieso du nicht verstehen willst, dass es schon von Grund auf keine Sicherheit bietet. Es wäre eben nur dann sicher, wenn alles verschlüsselt ist. Da das aber Akkuleistung braucht, macht es auf einem mobilen Telefon, auf Softwarebasis, nicht wirklich Sinn. Man müsste einen stromsparenden Verschlüsselungschip nutzen. Bei Hardwareverschlüsselungen gibt es aber wieder andere Probleme. Bei der Softwareverschlüsselung dauert dann auch alles wieder länger. Man sollte die Wahl haben ist richtig, aber wenn das Feature fast unbrauchbar, wegen der Geschwindigkeit ist, ist auch keinem geholfen. Außerdem ist so eine Veschlüsselung kein Zuckerschlecken. Wenn Google das implementieren will, dann machen sie es richtig und das kann dauern, wenn es sinnvoll umsetzbar ist. Vielleicht werden Verschlüsselungschips irgendwann Pflicht für ein "with Google" Handy, wer weiß?

bin ich mir sicher, dass die verlinkte PDF mit Sicherheit hier noch nicht erwähnt wurde.

Das wird schon verfasst, seit es Touchscreens in mobilen Geräten gibt. Da macht es auch keinen Unterschied, wenn das wer in eine PDF packt.

Eventuell nichts, aber jeder der ein entsprechendes Gerät benutzt sollte sich dessen bewusst sein.

Du weist auf ein Problem hin, was sowieso hinfällig ist, da Sperren im allgemeinen ganz leicht umgangen werden können (ja ich weiß ich wiederhole mich). Selbst wenn du jetzt ein pefektes Display hast, welches keine Spuren hinterlässt, dann wäre es genauso sicher wie vorher. Für 3-5 Minuten bekommt es keiner entriegelt. Wenn er es aber mit nach Hause nimmt oder es entwendet, dann kommt er an die Daten ran. Mit dem jetzigen Schmiereffekt schaffst du es auch nicht in den 3-5 Minuten (wie gesagt du hast dazwischen immer die 30 Sekunden, danach musst du dein Gmail Passwort eingeben). Keine Ahnung wieviele Versuche man dann effektiv hat.

Das was du dir einfach wünscht ist ein Lockpattern, welches mit einer Verschlüsselung zusammenhängt. Dann können wir gerne nochmal über die Fettspuren reden, denn dann wäre es wirklich interessant, was man dagegen machen kann.

Ich selber möchte keine Lösungen, da es aus den oben genannten Gründe, für mich eine sehr niedrige Priorität hat. Bevor Android von Haus aus keine Verschlüsselung unterstützt, macht es irgendwie kein Sinn sich darüber zu beschweren oder es als Info weiterzugeben. Zumindest nicht in den kurzen Worten. Dann hätte man auch darauf hinweisen sollen, dass die Sperre an sich, keine große Sicherheit bietet. So kommt es rüber, als wären die Leute jetzt sicher, wenn sie zusätzliche Spuren machen oder wenn Froyo kommt und sie die PIN Eingabe nutzen.

warum soll ich dann hier über Probleme beim z.B. iPhone schreiben?

Man kennt es aus den Medien. Man hätte es ganz einfach allgemein verfassen können. Wieso ist es nur für Android Leute interessant? Hier sind auch einige unterwegs, die sich noch eins kaufen wollen. Viele lesen nicht wirklich und nehmen nur Wortfetzen auf. Dann muss ich mir wieder anhören, Android ist unsicher, weil jemand gesagt hat, dass ...

Das ist öfters als du glaubst, dann kann ich jedes mal nur mit den Augen rollen.

wenn man über diverse Sachen nicht schreiben, reden, berichten soll

Wir diskutieren gerade über das Thema, genau das was man in einem Forum macht, ich bin nur nicht deiner Meinung. Ich erläutere dir auch nur, wie ich das sehe. Jeder soll seine Meinung über das Thema haben.

 

[lutzwohlfarth]

Ich glaube wir reden hier ein wenig aneinander vorbei sind aber vielleicht inhaltlich gar nicht soweit voneinander weg, wie es vielleicht scheint.

Ich versuch das mal aueinanderzudröseln, weil hier mittlerweile Sachen zusammen geschmissen wurden, die eigentlich so nicht zusammengehören aber in diesem Threrad (auch von mir) genannt wurden.

Ursprünglich ging's nur um das Lock-Pattern und um die eine PDF. Da es gestern spät war hab ich nicht viel dazu geschrieben, da ich an nahm, dass die PDF gelesen wird und dem einen oder anderen vielleicht ein Aha-Erlebnis beschert an eine größere Diskussion hatte ich gestern gar nicht gedacht. Speziell bei mir war der Aha-Erlebnis, das man es durch Sichtbarmachen der Wischspuren und der Wischrichtung auch von vermeintlich sauberen Displays das Lock-Pattern nachvollziehen und damit den Screen entsperren kann. - Für mich in der Form neu.

Dann kam eine Diskussion um die Sicherheit auf Android und Verschlüsselung im Allgemeinen.

Allerdings sollte man hier den Schnitt machen und die Themen trennen, denn die auch von Dir jetzt immer wieder ins Spiel gebrachte Verschlüsselung ist nämlich nur dann wirksam wenn die verschlüsselten Partitionen bzw. Container ausgehängt bzw. das Gerät ausgeschaltet ist. Das Lock-Pattern ist hingegen nur im eingeschalteten Zustand aktiv. - Beide Sachen ergänzen sich, wenn vorhanden. Auf unseren Andrioden (und auch anderen Smartphones -genau kann ich es nicht sagen, da ich mich nur mit Android auskenne ;-) fehlt leider vollständig die Verschlüsselung.

Gleichzeitig sollte man wahrscheinlich auch noch mal unterscheiden zwischen dem internen Speicher und der µSD-Karte.
Was auf der µSD-Karte gespeichert ist, ist ohne verschlüsselte Bereiche gänzlich ungeschützt und die raus zunehmen und in irgend einen Kartenleser stecken um sie auszulesen, dass schafft wirklich jeder. - Hier sind wir uns ja auch absolut einig.

Im internen Speicher liegen bekanntermaßen das komplette OS und die wichtigsten Daten auch von zusätzlich installierten Programmen wie z.K. k9.
Mir ist "bisher für das ungerootete Legend 2.1-update1 VF-Branding" keine gangbare Möglichkeit bekannt von außerhalb den internen Speicher auszulesen ohne das ich dabei aktiv mitwirke. - Möglicherweise ist das über irgendwelche Entwicklerwerkzeuge möglich, doch mir nicht bekannt. Insofern ist dieser interne Speicherbereich bei aktiviertem Lock-Pattern von außen für mich (und viele andere) nicht zugänglich und somit hat der Lock-Screen (in Deinen Worten Sichtschutz) nicht nur kosmetische Zwecke. - Wobei ich wieder beim Ausgangsthema bin.

Wenn keine weitreichenden Mechanismen vorhanden sind, die das Auslesen der Daten verhindert (nur über Verschlüsslungen möglich), dann sagt einem der Menschenverstand, dass man dieses "Schloss" nur als temporären Sichtschutz benutzen kann.

Bin ich vollkommen bei Dir, aber um es nochmal zu wiederholen: Mir ist "bisher für das ungerootete Legend 2.1-update1 VF-Branding" keine gangbare Möglichkeit bekannt von außerhalb den internen Speicher auszulesen ohne das ich dabei aktiv mitwirke. Und damit wirkt auch der "Sichtschutz" Lock-Pattern - zumindest so lange, bis eine Lücke gefunden ist.

Falls Du da andere Kenntnisse hast, dann bin ich da sehr daran interessiert, gerne auch per PM.

Wenn man eine böse App hat, die für einen bösen Wicht einen Remote-Zugriff ermöglicht, ist es noch mal ein anderes Thema, da hier weder ein wirksamer Login-Schutz noch eine Partitions-Verschlüsselung (die im aktiven Betrieb ja wirkungslos ist) irgend etwas verhindern würde. - Aber das ist dann noch ein separates Thema das man hier nicht vermischen sollte.

Ich weiß nicht wieso du nicht verstehen willst, dass es schon von Grund auf keine Sicherheit bietet. Es wäre eben nur dann sicher, wenn alles verschlüsselt ist.

Solange man keinen Zugriff auf den inneren Speicher hat, solange ist es auch ohne Verschlüsselung "relativ" sicher. - Okay wenn anderweitig keinen anderen Zugang zum internen Speicher hat, könnte man das Gerät auch auseinander bauen und die Flash-Speicher separat auslesen - dann ist es natürlich ein Problem, wenn keine Verschlüsselung vorliegt. - Da gebe ich Dir Recht. - Aber das sind bei den heutigen Handyinnereien schon Spezialfirmen, die das können. Mit einem normalen Lötkolben wird man da nicht sehr weit kommen.



So und jetzt noch mal kurz zurück zur Verschlüsselung:

Da das aber Akkuleistung braucht, macht es auf einem mobilen Telefon, auf Softwarebasis, nicht wirklich Sinn.

Auf meinem alten Psion netBook (190 MHz StrongArm) hatte ich jahrelang die Verschlüsselungssoftware SecureDrive am laufen, die verschlüsselte Container auf der CF-Karte bereitstellte. - Gut es waren eben nur ein paar Container "nur" mit RC6-Verschlüsselung und nicht das komplette System, aber von erhöhtem Akkuverbrauch war nichts und von Zugriffsverzögerung war kaum etwas zu merken. Und auch auf meinem Asus eeePC 1000H mit Debian Sqeeze und Systemvollverschlüsselung (alle Partitionen + swap) merke ich nichts von nennenswert erhöhtem Akkuverbrauch.

Wenn Google das implementieren will, dann machen sie es richtig und das kann dauern, wenn es sinnvoll umsetzbar ist. Vielleicht werden Verschlüsselungschips irgendwann Pflicht für ein "with Google" Handy, wer weiß?

entschuldige bitte, kann gerade mein Grinsen nicht unterdrücken. - Google oder die Open Handset Alliance braucht da imho gar nichts groß neues zu erfinden, gibt's alles schon und ist im Standard-Linux-Kernel enthalten - d.h. eigentlich bräuchten sie nur die entsprechenden "vorhandenen" Module in den Android-Kernel wieder übernehmen und die Userland-Tools an das Androidsystem anpassen, zumindest was Verschlüsselung auf der µSD-Card angeht - beim internen Speicher ist es vielleicht nicht ganz so einfach aber auch für Flash-Filsysteme gibt's gangbare Verschlüsselungswege, wenn man will:
Recent security features and issues in embedded systems

Du weist auf ein Problem hin, was sowieso hinfällig ist, da Sperren im allgemeinen ganz leicht umgangen werden können (ja ich weiß ich wiederhole mich).

Und vor allem so theoretisch, also jetzt mal Butter bei die Fische! - Hier liegt ein ungerootetes HTC Legend mit VF-Branding und aktuell Android 2.1-update1. Auf dem System ist der Lock-Pattern aktiv und ich hätte gern Zugriff auf den inneren Speicherbereich.

Wie gehst Du vor? Zeit spielt erst mal keine Rolle.

 

[gado]

Dem größten Teil stimme ich dir zu.

Auslesen von Flashspeicher braucht keine Spezialfirma. Das bekommst du alles günstig gekauft um dem Flashspeicher zu mounten. Wie das genau geht könnte ich dann raussuchen. Heute aber nicht mehr.

[vom Hero gesendet]

 

[tiaik]

Erwischt