Datenrettung eines auf Werkeinstellung zurückgesetzten Galaxy S10?

[Line78]

Grüezi zäme

Mir ist etwas sehr Unschönes passiert, was mich auch wirklich traurig macht. Letzte Woche wurde mein Samsung Galaxy auf die Werkeinstellung zurückgesetzt und zwar bevor ich meine Fotos sichern konnte. Viele würden nun sagen, dass man in diesem Fall nichts mehr machen kann, weil die Daten einfach gelöscht wurden. Ich habe mich jedoch mit mehreren Kollegen (unter anderem einem Android Entwickler) ausgetauscht, und die meinten, ich solle den Kopf noch nicht hängen lassen. In der Regel werden die Daten beim Zurücksetzen nicht einfach vom Gerät gelöscht, sondern einfach nur Daten (Space) zum Überschreiben freigegeben. Ich kenne mich diesbezüglich zwar nicht aus, aber wenn man hört, was Spazialisten teilweise wieder herstellen können, macht diese Aussage schon Sinn.

Nun wende ich mich einfach mal an euch. Gibt es in meinem Fall noch Hoffnung bzw. gibt es noch Möglichkeiten/Tools meine Föteli wieder herzustellen? Es gibt ja viele Recovery Tools....wobei man bei den guten Tools ja auch ein Rooting machen müsste, was aber grundsätzlich ja machbar sein müsste. Wie seht ihr das?
Ich kenne mich zu wenig aus...wie sind meine Chancen?

 

[Klaus986]

@Line78 Keine Chance, die Daten sind verschlüsselt. Das müsste dein befreundeter Entwickler eigentlich wissen.

 

[KleinesSinchen]

Für eine definitive Antwort reichen meine Kenntnisse bei Weitem nicht aus.

Per Design sollte(!) da nichts zu machen sein. Wenn es korrekt implementiert ist – und davon sollte man ausgehen, denn Zeit genug war um eventuelle Fehler zu finden – wirft ein "Factory Reset" den kryptografischen Schlüssel für die bisherigen Daten weg und löscht diesen Schlüssel auf sichere Art und Weise.

Sogar SSDs in PCs können das Gleiche:
hdparm --user-master u --security-set-pass password /dev/sdX hdparm --user-master u --security-erase password /dev/sdX
Dauert wenige Sekunden → Exitus für die Daten (und weil man der Firmware von so einem Ding nicht blind vertrauen sollte, dass sie korrekt tut, was sie soll, am besten zusätzlich von vorne herein softwarebasierte Verschlüsselung anwenden und bei Bedarf zunächst deren Schlüssel wegwerfen)

Nix mit ewig langem, langsamen und mehrfachen Überschreiben mit diversen Mustern, wie auf einer guten alten Floppy-Disk.

Was genau die Original-Firmware bei Reset macht, weiß am Ende wohl nur Samsung (oder jemand, der sich richtig tief rein liest).

 

[Klaus986]

Was genau die Original-Firmware bei Reset macht, weiß am Ende wohl nur Samsung (oder jemand, der sich richtig tief rein liest).

Ein Reset löscht /data. Das ist alles. Der Master Key für die Verschlüsselung wird neu generiert.

 

[maik005]

@Line78
Wer die da Hoffnung gemacht hat, hat keine Ahnung.
Die Daten sind unwiederbringlich weg.

Außer sie waren noch irgendwie extern oder auch in einer Cloud gespeichert.

 

[KleinesSinchen]

@Klaus986 Die grundsätzliche Vorgehensweise ist mir klar. Die genaue Implementierung ist zumindest mir nicht bekannt.
Ein mkfs ist zum Beispiel *nicht* notwendiger Weise ausreichend, um das Ziel der unwiederbringlichen Löschung zu erreichen (auch wenn der entsprechende Sektor mit dem Master-Key auf Ebene des Betriebssystems – in diesem Fall Android Recovery überschrieben wird → z.B. wear leveling). Alles in allem aber eine mehr akademische/theoretische Sicht auf die Dinge. Gute Verschlüsselung macht zuverlässiges Löschen sehr viel einfacher und schneller.

Für die Praxis dürfte die kurze Antwort wohl (leider) richtig sein: Nö, geht nicht.

Aber auch "völlig klare" und "jeder weiß das"-Dinge haben sich schon mal als falsch herausgestellt. Daher bin ich mit absoluten, endgültigen Aussagen gerne etwas vorsichtiger. So viel Vertrauen in meine eigenes Wissen habe ich nicht. Meine eigene Stärke, liegt – wenn überhaupt – eher bei robusten Backupstrategien als bei Rettungsversuchen.

 

[Klaus986]

@KleinesSinchen Das ist nicht so kompliziert. Bei einem Reset wird die Partition in der Recovery gelöscht. Beim nä. Boot wird sie neu erstellt und die Rahmenbedingingen dazu sind in /vendor/etc/fstab hinterlegt. Dort steht, die Partition soll verschlüsselt sein und wenn sie das nicht ist, wird sie es. Darauf wird ein Master Key generiert, der in einer gesichterten Umgebung (TEE) außerhalb des eMMC auf einer speziellen Partition des SoC gespeichert wird. Fertig.

 

[KleinesSinchen]

Danke @Klaus986! Da werde ich mich mal einlesen müssen. Spannendes Thema.
Hier würde das jetzt doch nur OT gehen.

 

[Klaus986]

@KleinesSinchen Fang mit Full-Disk Encryption an und danach erst die aktuelle Variante File-Based Encryotion anschauen:

Full-Disk Encryption | Android Open Source Project

File-Based Encryption | Android Open Source Project

Viel Spaß! ;-)