Lock-Pattern lässt sich durch Fingerspuren knacken

[lutzwohlfarth]

Folgendes Dokument sollte jeder Android-Nutzer kennen:

http://www.usenix.org/events/woot10/tech/full_papers/Aviv.pdf

Wird Zeit das FroYo kommt, denn dann kann man das Phone wohl auch mit PIN oder Passwort sperren.

 

[Kranki]

Alle Jahre wieder...

Sent from my Nexus One

 

[lutzwohlfarth]

Und wenn es alle Jahre ist, dann ist es viel zu selten, wenn auf unzulängliche Sicherheit hingewiesen wird.

Was mich nämlich stark verwundert ist, das hier und in anderen Android-Foren prinzipielle potentielle Sicherheits-Probleme wie Rootkit, Trojaner oder ähnliches eher laxs begegnet wird, ach was sag ich, Rootkits wie bei "one klick root" werden ja sogar bejubelt.

Ich warte nur drauf, dass sowas in irgend eine App eingebaut wird und damit ein Androi-Botnet aufgezogen wird. - Gut dagegen hilft auch kein Lock-Pattern, aber was ich bemängel ist, das generell das Sicherheitsdenken bei Android-Usern wenig ausgeprägt zu seien scheint. Und insofern gebe ich dir auch Recht, der Affe sitzt vor dem Smartphone oder im Forum und gibt unqualifizierte Kommentare ab.

 

[mccrain]

Wenn man ein Muster wählt, bei dem man mehr als einmal über die gleiche Linie fährt, ist die Knackwahrscheinlichkeit nicht geringer als bei einer PIN, bei der man auch die Fingerabdrücke sieht und ausprobieren könnte.
Als Diebstahlschutz taugt weder Muster, PIN oder Passwort.

 

[mccrain]

...aber was ich bemängel ist, das generell das Sicherheitsdenken bei Android-Usern wenig ausgeprägt zu seien scheint.

Das ist bei Android-, Apple, Symbian oder Winmobilenutzern gleich! Habe die Erkenntnis aus vielen Foren und Bekanntschaften gesammelt. Bei Apple hat man die scheinbare Sicherheit, dass gefiltert wird. Doch auch da gibt es Sicherheitslücken und auch da haben die wenigsten Nutzer Sicherheitsbedenken!

Und insofern gebe ich dir auch Recht, der Affe sitzt vor dem Smartphone

JA!!!
Ich würde schätzen, dass 70% der Laptopnutzer keinerlei Passwortschutz haben, 25% zumindest den aushebelbaren Windowspasswortschutz und vielleicht 5% einen effektiven Schutz nutzen.
Im Fernsehen wird seit Jahren vor Autodiebstahl durch Signalabgreifung bei Funkschlüsselnutzung gewarnt. Schätze, dass 95% der Autofahrer sie trotzdem nutzen.
In der Presse wird seit Jahrzehnten vor Kaffeefahrten, Telefonverkaufsbetrug und Einbrüchen gewarnt. Gesetzte gibt es auch schon. Trotzdem boomt die Branche!

ES GIBT KEINE 100% SICHERHEIT!

Es ist vollkommen richtig und gut, dass Du darauf hinweist! Aber wie Du sagst: Der Affe sitzt vor dem Smartphone und er kann immer wieder darauf hinweisen, meckern und auf eine Fremdlösung warten (z.B. das erwähnte Froyo) und dann nach Monaten fluchen, dass der Passwortschutz aushebelbar ist. (Deswegen vielleicht die Reaktion von KRANKI)
Oder er macht sich selbst einen Kopf und versucht den besten Schutz zu finden.
Oder er begibt sich in eine scheinbare(!) Sicherheit.

Jeder hat die Wahl!

 

[Finsinger]

Na ja, meiner Meinung nach liegt´s eher daran, dass Android vom Anfang her nicht unbedingt als Business-Smartphone-Lösung gedacht war, und das Thema Datensicherheit bei der Entwicklung ein wenig ins Hintertreffen kam.

Da steht Android aber nicht alleine da, das ist mit so gut wie allen Plattformen so, prominentestes Beispiel dürfte da das Ei-Fon sein, bei dem sich Sicherheitsexperten regelmäßig vor Lachen auf die Schenkel klopfen.

Die einzige Plattform, bei der man (auch nach Expertenmeinung) das Prädikat "unknackbar" draufkleben kann, ist Blackberry-OS, sowohl bei der geschäftlichen BES-Lösung, als auch im Prosumermarkt. Aber da musst Du eben mit einem beschränkten Geräteangebot leben.

Wenn Du auf Deinem Androiden so heikle Daten hast, dass es Dir Kopfzerbrechen bereitet, warum hast Du Dich dann für einen Androiden entschieden? Wahrscheinlich, weil es ein wenig schicker ist, als ein verhältnismäßig sachlich gehaltener Blackberry.

Es stellt sich auch die Frage nach Deinem Umgang mit dem Handy. Lässt Du es öfter unbeaufsichtigt rumliegen? Nur dann hat doch jemand die Chance, es Dir abspenstig zu machen und sich ans Knacken eines Patterns zu machen. Diese Fahrlässigkeit kannst Du dann aber nicht dem Smartphone zu Lasten legen, da musst Du Dich schon an die eigene Nase fassen.

Und Android ist Google. Auch da werden doch immer wieder mal Bedenken laut, Sicherheitsfanatiker wären da nicht besonders gut aufgehoben. Nochmal: Warum also Deine Entscheidung für Android?

Dass das von Dir kritisierte LockPattern keinen professionellen Sicherheitsansprüchen genügt, mag ja auch sein, aber ich denke mal, so war es auch nie konzipiert. Das ist eher ein System, das eifersüchtige Freundinnen davon abhalten soll, die SMS´Deiner Geliebten zu lesen..

 

[lutzwohlfarth]

Wenn man ein Muster wählt, bei dem man mehr als einmal über die gleiche Linie fährt, ist die Knackwahrscheinlichkeit nicht geringer als bei einer PIN

Sicher? Wie viele Stellen hat die PIN, die Du in Betracht ziehst?

Als Diebstahlschutz taugt weder Muster, PIN oder Passwort.

Am Interessantesten an der PDF fand ich, dass auch wenn das Display optisch sauber aussieht (Display durch stecken in Hosentasche oder durch bewusstes sauber wischen) man dennoch Schmierspuren sichtbar machen kann.

Ich weiß nicht genau wie bei Froyo die PIN/Passworteingabe dann gelöst ist (habs leider noch nicht auf Legend), aber falls die normale Touchscreentastatur genutzt wird, sollte zumindest bei Passworteingabe im Bereich der Touchscreentastatur so viele Fingertapsen sein, dass die Wahrscheinlichkeit, das mit o.g. Methode jemand dein Passwort nachvollziehen kann gegen NULL geht.

Und beim Lock-Pattern bei Android 2.1 kannst Du zwar kreuzen und auch über bereits benutzte Felder noch einmal drüber fahren, aber grundsätzlich kannst Du jeden Punkt nur einmal anfahren, von daher sind die Möglichkeiten begrenzt.

 

[lutzwohlfarth]

Das ist bei Android-, Apple, Symbian oder Winmobilenutzern gleich!

Zu Apple, Symbian oder Winmobile und BlackBerry kann ich nix sagen, benutze ich nämlich nicht.

Ich würde schätzen, dass 70% der Laptopnutzer keinerlei Passwortschutz haben, 25% zumindest den aushebelbaren Windowspasswortschutz und vielleicht 5% einen effektiven Schutz nutzen.

Sofern die Leute den Laptop als mobiles Gerät benutzen und nicht als stationärer Desktopersatz kann man diese Leute immer nur daran erinnern, dass sie grob fahrlässig handeln und nicht jammern sollen, wenn das Gerät weg ist und mit den auf dem Gerät befindlichen Daten Schindluder getrieben wird.

Im Fernsehen wird seit Jahren vor Autodiebstahl durch Signalabgreifung bei Funkschlüsselnutzung gewarnt. Schätze, dass 95% der Autofahrer sie trotzdem nutzen.
In der Presse wird seit Jahrzehnten vor Kaffeefahrten, Telefonverkaufsbetrug und Einbrüchen gewarnt. Gesetzte gibt es auch schon. Trotzdem boomt die Branche!

ES GIBT KEINE 100% SICHERHEIT!

Stimme Dir voll zu. - Jeder muss für sich abwägen, welchen Komfort man möchte und mit wieviel Unsicherheit man leben kann - sofern man überhaupt weiß, auf was man sich einlässt. - Man kann aber auch probieren bei bestehenden Systemen durch Diskussion auf bestehende Probleme immer wieder hinzuweisen, in der Hoffnung ein findiger Entwickler (bin ich leider nicht - mache mir aber trotzdem einen Kopf um die Erhöhung der Sicherheit auf meinen Geräten) sieht das ähnlich und bietet Lösungen an.

Es ist vollkommen richtig und gut, dass Du darauf hinweist! Aber wie Du sagst: Der Affe sitzt vor dem Smartphone und er kann immer wieder darauf hinweisen, meckern und auf eine Fremdlösung warten (z.B. das erwähnte Froyo) und dann nach Monaten fluchen, dass der Passwortschutz aushebelbar ist.

Dann wäre es wieder an der Zeit diese Lücke öffentlich zu machen, in der Hoffnung, das Bewusstsein, dass es da ein Problem gibt weit zu streuen und den Hersteller/Provider dazu zu bewegen mittels Update für Abhilfe zu schaffen, ganz so wie es im PC-Bereich heute so usus ist.

Deswegen vielleicht die Reaktion von KRANKI

Das ist keine Art und Weise! Frei nach Dieter Nuhr, wenn man nichts beizutragen hat, einfach mal... (nix schreiben)

Oder er macht sich selbst einen Kopf und versucht den besten Schutz zu finden.
Oder er begibt sich in eine scheinbare(!) Sicherheit.

Siehe oben.

 

[lutzwohlfarth]

Die einzige Plattform, bei der man (auch nach Expertenmeinung) das Prädikat "unknackbar" draufkleben kann, ist Blackberry-OS, sowohl bei der geschäftlichen BES-Lösung, als auch im Prosumermarkt. Aber da musst Du eben mit einem beschränkten Geräteangebot leben.

Uncknackbar sollte man nirgends draufschreiben, nur das es bisher offiziell noch niemandem gelungen ist oder entspr. Lücken noch nicht an die Öffentlichkeit gelangt sind.

Wenn Du auf Deinem Androiden so heikle Daten hast, dass es Dir Kopfzerbrechen bereitet, warum hast Du Dich dann für einen Androiden entschieden? Wahrscheinlich, weil es ein wenig schicker ist, als ein verhältnismäßig sachlich gehaltener Blackberry.

- 'n Blackberry ist 'ne Blackbox ohne große Eingriffsmöglichkeiten durch den Nutzer und wer mittlerweile alles in den Datenstrom reingucken darf, ist ja aktuell noch mal ein ganz anderes Thema
- iPhone mag ich nicht wg. Nutzergängelung
- WinMobile kann ich nichts weiter zu sagen, außer das schon zu Zeiten als ich noch Psion- und dann Zaurus-User war, das damalige mobile Windows mich nicht begeistert hat und seit dem hab ich die Plattform aus den Augen verloren
- Symbian als aus dem Psion-OS EPOC hervorgegangenes OS sollte mir als ehemaliger Psion-User vielleicht sympathisch sein, ist es aber nicht
- Android ist das, was für mich als Linux-User am ehesten meinem Verständnis nach freier Software entspricht - insofern verstehe ich nicht so ganz, dass Sicherheitsfeatures die bei Linux lange Standard sind, bei der Android-Entwicklung/Weiterentwicklung und soweit ich mich eingelesen hab auch bei den Costum-ROMs wenig Beachtung geschenkt wird - "Fehler by Design" würde ich mit dem heutigen Wissen sagen - naja, abgesehen von Firewall bei Costum-ROMs und diversen Remote-Lösch-Apps fehlt einiges in der Richtung

- Maemo/MeeGo lass ich hier mal außen vor, das System hat meiner Meinung nach großes Potential, allein es fehlen die Geräte und die Apps - das N900 hatte ich in meinen Kauferwägungen mit drin, aber es ist viel zu groß und zu schwer

- OpenMoko war lange mein zukünftiger Favorit, allein ich war zu langsam -und seit die Entwicklung quasi eingestellt wurde braucht man nicht länger drüber nachzudenken

Und zu den heiklen Daten:
Hast Du keine auf Deinem Handy/Smartphone? - Auf einem Gerät das man immer dabei hat, mit dem man mal schnell ins Internet kann, auf dessen µSD-Card sich zig GB-Byte an Daten lagern lassen hast Du keine sensiblen Daten, die wenn in falsche Hände geraten durchaus Schaden anrichten können? - Wenn Du das nicht hast, dann Gratulation. - Aber wozu benötigst Du dann ein Smartphone - Dir reicht vielleicht auch ein Handy und 'ne mobile Spielkonsole? - Ist 'ne ernstgemeinte Frage!

Mein altes Nokia 6230 hat mir in der Richtung schon lange nicht mehr ausgereicht und selbst da hatte ich sensible Daten drauf.

Es stellt sich auch die Frage nach Deinem Umgang mit dem Handy. Lässt Du es öfter unbeaufsichtigt rumliegen? Nur dann hat doch jemand die Chance, es Dir abspenstig zu machen und sich ans Knacken eines Patterns zu machen. Diese Fahrlässigkeit kannst Du dann aber nicht dem Smartphone zu Lasten legen, da musst Du Dich schon an die eigene Nase fassen.

Vollkommen richtig! - Normalerweise habe ich das Handy ja auch in meiner Hosentasche, aber bei Wanderungen manchmal auch im Rucksack (wenn man an heißen Sommertagen mal spontan ins Wasser springt sollen auch schon andere Sachen weggekommen sein), dann auf Arbeit liegt das Phone auch schon mal offen auf dem Schreibtisch, ich hab aber nicht nur am Schreibtisch zu tun, so dass es schon mal vorkommen kann, dass das Smartphone einen Moment oder auch länger unbeaufsichtigt ist. - Wenn das bei Dir alles nicht zutrifft, dann auch hier Gratulation!

Und Android ist Google.

Ja, aber mann muss auch mit einem Android-Phone nicht jeden Mist mit Goole-Apps machen und Du kannst Dir gewiss sein, mein Legend ist entsprechend eingerichtet, das nicht alles in meinem Google-Konto landet.

Warum also Deine Entscheidung für Android?

Ich hoffe die Frage ist beantwortet.

 

[mccrain]

Sicher? Wie viele Stellen hat die PIN, die Du in Betracht ziehst?

Sicher bin ich nicht, da ich genauso wenig wie Du weiß, wieviele Stellen möglich sind.

Am Interessantesten an der PDF fand ich, dass auch wenn das Display optisch sauber aussieht (Display durch stecken in Hosentasche oder durch bewusstes sauber wischen) man dennoch Schmierspuren sichtbar machen kann.

So kann man auch andere Spuren auf Tastaturen, Touchscreens, Geldautomaten usw. sichtbar machen.

Ich weiß nicht genau wie bei Froyo die PIN/Passworteingabe dann gelöst ist (habs leider noch nicht auf Legend), aber falls die normale Touchscreentastatur genutzt wird, sollte zumindest bei Passworteingabe im Bereich der Touchscreentastatur so viele Fingertapsen sein, dass die Wahrscheinlichkeit, das mit o.g. Methode jemand dein Passwort nachvollziehen kann gegen NULL geht.

Da hast Du sicherlich Recht.
Was hältst Du davon
Android supersicher: Iris-Scan und Gesichtserkennung schützt Smartphones

Und beim Lock-Pattern bei Android 2.1 kannst Du zwar kreuzen und auch über bereits benutzte Felder noch einmal drüber fahren, aber grundsätzlich kannst Du jeden Punkt nur einmal anfahren, von daher sind die Möglichkeiten begrenzt.

Das habe ich eben auch bemerkt.

Zu Apple, Symbian oder Winmobile und BlackBerry kann ich nix sagen, benutze ich nämlich nicht.

Aber Du bemängelst, dass generell das Sicherheitsdenken bei Android-Usern wenig ausgeprägt zu seien scheint?
Solang nicht jemand per Androidphone die Welt bedroht oder die Presse sich darauf einschießt, interessiert es höchstens 5% der Benutzer!
Das ist bei jedem Thema so (nicht nur elektronische Geräte)

Sofern die Leute den Laptop als mobiles Gerät benutzen und nicht als stationärer Desktopersatz kann man diese Leute immer nur daran erinnern, dass sie grob fahrlässig handeln und nicht jammern sollen, wenn das Gerät weg ist und mit den auf dem Gerät befindlichen Daten Schindluder getrieben wird.

Stimme zu! Vielleicht kannst Du damit was anfangen. Mir gefällt es sehr!
Diebstahlschutz und Datenschutz fr Ihr Handy - Theft Aware fr Android und Nokia Symbian

Dann wäre es wieder an der Zeit diese Lücke öffentlich zu machen, in der Hoffnung, das Bewusstsein, dass es da ein Problem gibt weit zu streuen und den Hersteller/Provider dazu zu bewegen mittels Update für Abhilfe zu schaffen, ganz so wie es im PC-Bereich heute so usus ist.

Du bist ein richtiger Optimist ;-)

 

[Finsinger]

Uncknackbar sollte man nirgends draufschreiben, nur das es bisher offiziell noch niemandem gelungen ist oder entspr. Lücken noch nicht an die Öffentlichkeit gelangt sind.

Klingt schon nach Paranoia, oder nicht? Um mal beim Beispiel Blackberry zu bleiben: Deren Haupt-Verkaufsargument ist, dass noch nicht einmal RIM selbst den Mail- oder Datenverkehr seiner Kunden einsehen kann, und das versichern sie bisher durchaus glaubwürdig.

- 'n Blackberry ist 'ne Blackbox ohne große Eingriffsmöglichkeiten durch den Nutzer und wer mittlerweile alles in den Datenstrom reingucken darf, ist ja aktuell noch mal ein ganz anderes Thema

siehe oben

- iPhone mag ich nicht wg. Nutzergängelung

ich auch nicht.

- WinMobile kann ich nichts weiter zu sagen, außer das schon zu Zeiten als ich noch Psion- und dann Zaurus-User war, das damalige mobile Windows mich nicht begeistert hat und seit dem hab ich die Plattform aus den Augen verloren
- Symbian als aus dem Psion-OS EPOC hervorgegangenes OS sollte mir als ehemaliger Psion-User vielleicht sympathisch sein, ist es aber nicht
- Android ist das, was für mich als Linux-User am ehesten meinem Verständnis nach freier Software entspricht - insofern verstehe ich nicht so ganz, dass Sicherheitsfeatures die bei Linux lange Standard sind, bei der Android-Entwicklung/Weiterentwicklung und soweit ich mich eingelesen hab auch bei den Costum-ROMs wenig Beachtung geschenkt wird - "Fehler by Design" würde ich mit dem heutigen Wissen sagen - naja, abgesehen von Firewall bei Costum-ROMs und diversen Remote-Lösch-Apps fehlt einiges in der Richtung

Da machst Du in meinen Augen den Fehler, Linux 1:1 mit Android gleichzusetzen. Android ist zwar ein Linux-Derivat, an sich aber eine noch sehr junge Plattform und einem stetigen Entwicklungsprozess unterworfen. Denkst Du, das Dir bekannte sichere Linux hatte all diese Features bereits von Anfang an??

- Maemo/MeeGo lass ich hier mal außen vor, das System hat meiner Meinung nach großes Potential, allein es fehlen die Geräte und die Apps - das N900 hatte ich in meinen Kauferwägungen mit drin, aber es ist viel zu groß und zu schwer

- OpenMoko war lange mein zukünftiger Favorit, allein ich war zu langsam -und seit die Entwicklung quasi eingestellt wurde braucht man nicht länger drüber nachzudenken

Da kommen wir dann aber schon langsam zu den Exoten, oder? Gut, die könnten dafür sicher sein, weil sie so geringe Verbreitung haben, dass kein Hacker sich die Mühe macht, dafür Codeknacker zu schreiben.

Und zu den heiklen Daten:
Hast Du keine auf Deinem Handy/Smartphone? - Auf einem Gerät das man immer dabei hat, mit dem man mal schnell ins Internet kann, auf dessen µSD-Card sich zig GB-Byte an Daten lagern lassen hast Du keine sensiblen Daten, die wenn in falsche Hände geraten durchaus Schaden anrichten können? - Wenn Du das nicht hast, dann Gratulation. - Aber wozu benötigst Du dann ein Smartphone - Dir reicht vielleicht auch ein Handy und 'ne mobile Spielkonsole? - Ist 'ne ernstgemeinte Frage!

Ich glaub Dir, dass das ne ernstgemeinte Frage ist, deshalb auch meine ernsthafte Antwort: Nö. Weder habe ich derart sensible Daten auf dem Handy (ich verschicke in meinen Mails oder SMS´ nicht die Raketencodes für die westliche Verteidigung), noch bin ich eine derart exponierte Persönlichkeit, dass ich ein Übermaß an Aufmerksamkeit verdient hätte.

Mein altes Nokia 6230 hat mir in der Richtung schon lange nicht mehr ausgereicht und selbst da hatte ich sensible Daten drauf.

Definiere doch mal bitte "sensible Daten"...

Vollkommen richtig! - Normalerweise habe ich das Handy ja auch in meiner Hosentasche, aber bei Wanderungen manchmal auch im Rucksack (wenn man an heißen Sommertagen mal spontan ins Wasser springt sollen auch schon andere Sachen weggekommen sein), dann auf Arbeit liegt das Phone auch schon mal offen auf dem Schreibtisch, ich hab aber nicht nur am Schreibtisch zu tun, so dass es schon mal vorkommen kann, dass das Smartphone einen Moment oder auch länger unbeaufsichtigt ist. - Wenn das bei Dir alles nicht zutrifft, dann auch hier Gratulation!.

Vielen lieben Dank! Ich bin wohl tatsächlich in der luxuriösen Situation, dass ich Kollegen habe, denen ich vertrauen kann. Im Umkehrschluss tust Du mir echt leid.

Ja, aber mann muss auch mit einem Android-Phone nicht jeden Mist mit Goole-Apps machen und Du kannst Dir gewiss sein, mein Legend ist entsprechend eingerichtet, das nicht alles in meinem Google-Konto landet..

Wie gesagt, ich bin neugierig, was Dir dann so großes Magenweh bereitet.

Ich hoffe die Frage ist beantwortet.

Noch nicht abschließend, aber wir arbeiten ja dran.

 

[Kranki]

Zur Erklärung meiner Reaktion: "Alle Jahre wieder" bezog sich darauf, dass das jetzt sicher schon das wer weiß wievielte Mal ist, dass einer "entdeckt", dass man das Sperrmuster durch Spuren auf dem Display erkennen kann. Da kann man auch einen Thread drüber aufmachen, dass WEP-Verschlüsselung nicht sicher ist. Das Problem ist einfach seit langem bekannt, und davon, dass jüngst einer nochmal ein Paper zu dem alten Thema veröffentlicht hat, wird diese Erkenntnis auch nicht neuer.

 

[gado]

Hier wird das Lockpattern völlig falsch verstanden. Es dient dazu, Fremden den Zugriff zu verwehren, wenn man es kurz liegen lässt. Damit Freundin, Freunde, Arbeitskollegen oder sonstige Bekannte nicht drauf können. Das macht es sehr gut, denn nach 3 Fehlversuchen, muss man 30 Sekunden Pause machen. Damit zieht sich das alles solang, dass man das nicht mal eben entriegeln kann, habe auch schon Versuche gemacht. Ohne zusätzliche Mittel erkennt man das auch nicht. Wenn das Smartphone entwendet wird, dann hat man Probleme, denn wenn ich wirklich die Absicht habe die Daten da runterzubekommen, dann kann ich das bei fast jedem Handy und Smartphone. Sei es WinMo, Symbian, Android oder iPhone. Bei fast allen Smartphones und Handys werden die Daten nicht verschlüsselt und werden im Klartext in einen Datenbereich gespeichert.

Wenn ich an die Daten von Windows will, dann starte ich über die Platte nicht Windows, sondern ich nehme ein fremdes System und greife die Daten ab. Damit kommt es erst gar nicht zu Abfragen. Das gleiche geht auch bei Smartphones. Ich nehme einfach den Speicher und frage diesen direkt ab. Da gibt es dann keine PIN, Lockpattern oder sonstigen Abfragen. Ist bei einem Handyspeicher etwas umständlicher, da man die passenden Controller braucht, aber auch keine Unmöglichkeit.

Das einzige, was man machen könnte, wäre ein Remote Wipe. Was bei einer SD Karte aber auch nicht wirklich was bringt, denn diese Daten sind leicht wieder herzustellen, wenn sie nicht genullt werden. Habe da Wavesecure noch nicht ausprobiert, denke, dass die SD nicht genullt wird (da die API das nicht vorsehen wird). Ein Rootapp wäre da wohl sogar sicherer, wenn sie tut, was sie verspricht und nicht mehr.

Das mit den 1-Klick Rootingtools ist sicherlich ein wichtiges Thema. Aber da sind die Hersteller nicht unschuldig. Statt mit den Entwicklern zu kämpfen könnte man das wie beim Nexus One regeln. Da jedes System knackbar ist, bringt es nichts eine Lücke nach der anderen zu schließen. Es würde aber was bringen, wenn man dem User die Wahl lässt, ob er Root will oder nicht. Somit würde erst gar nicht versucht werden, Sicherheitslücken von der Community gefunden zu werden, die dann jeder nutzen kann.

PS: Mein E71, welches eine Vollverschlüsselung von internen Speicher und SD Karte hatte (dafür hatte es extra einen Verschlüsselungschip), war auch nicht sicher. Da hat es bei der Umsetzung der Verschlüsselung gehapert.

 

[tiaik]

Aunch wenn viele einer Meinung sind, koennen alle falsch liegen

 

[mccrain]

Um mal beim Beispiel Blackberry zu bleiben: Deren Haupt-Verkaufsargument ist, dass noch nicht einmal RIM selbst den Mail- oder Datenverkehr seiner Kunden einsehen kann, und das versichern sie bisher durchaus glaubwürdig.

Google News: Indien erhht Druck in Blackberry-Streit

 

[lutzwohlfarth]

Klingt schon nach Paranoia, oder nicht?

Die einen nennen es Paranoia, die anderen gesunder Menschenverstand...

Um mal beim Beispiel Blackberry zu bleiben: Deren Haupt-Verkaufsargument ist, dass noch nicht einmal RIM selbst den Mail- oder Datenverkehr seiner Kunden einsehen kann, und das versichern sie bisher durchaus glaubwürdig.

Um die Diskussion nicht zum Blackberry abdriften zu lassen, nur zwei Links, dann sollte in dem Fall alles gesagt sein:

heise online - Blackberry-Sperre in Saudi-Arabien abgewendet

Blackberry-Sicherheit: Macht RIM Indien Zugeständnisse? | heise mobil

Okay, das Telkos oder Vater Staat bei uns überall reingucken kann, darüber regt sich leider viel zu Leute auf, aber das ist nun wirklich OT.

Da machst Du in meinen Augen den Fehler, Linux 1:1 mit Android gleichzusetzen.

Falsch, ich hab nur geschrieben, dass ich Linux-User bin (Windows benutze ich allerdings auch, je nach Anwendungsfall) und Android am ehesten meinem Verständnis nach freier Software entspricht. Und zur Ergänzung, damit klar ist wie ich das meine: Immerhin sind weite Teile von Android offen gelegt. Das ich Linux 1:1 mit Android gleichzusetzen steht nirgends und ist auch nicht so. Und nein ich meine nicht, dass GNU/Linux (um es korrekt zu sagen) von Anfang an all seine heutigen Sicherheitsfeatures innehatte. Aber seit dem sind rund 18 Jahre vergangen und die IT-Branche hat sich rasant weiterentwickelt, so dass man (meine persönliche Meinung) heutzutage, bei einem neu konzipierten System einfach ein paar Standards voraussetzen darf - oder etwa nicht?

Ich glaub Dir, dass das ne ernstgemeinte Frage ist, deshalb auch meine ernsthafte Antwort: Nö. Weder habe ich derart sensible Daten auf dem Handy (ich verschicke in meinen Mails oder SMS´ nicht die Raketencodes für die westliche Verteidigung), noch bin ich eine derart exponierte Persönlichkeit, dass ich ein Übermaß an Aufmerksamkeit verdient hätte.

„Just because you’re paranoid doesn’t mean they’re not after you“
(Nur weil du paranoid bist, heißt das nicht, dass sie nicht hinter dir her sind)
von Henry Kissinger

Definiere doch mal bitte "sensible Daten"...

Sag ich Dir gerne, schwankt aber sicher von Nutzer zu Nutzer.
Für mich fängt es bei Kontaktdaten (Adressen, Mail-Adressen) von Familie, Freunden Geschäftspartnern an, geht über diverse Zuganscodes zu Onlineresourcen weiter zu gespeicherten GPS-Tracks die nicht für Öffentlichkeit gedacht sind (hab auch welche, die ich veröffentliche) und hört bei Daten für Geldgeschäfte (Onlinebanking etc.) noch lange nicht auf...

Für sensible E-Mails gibt's ja zum Glück APG.

Vielen lieben Dank! Ich bin wohl tatsächlich in der luxuriösen Situation, dass ich Kollegen habe, denen ich vertrauen kann. Im Umkehrschluss tust Du mir echt leid.

Sei froh, wenn Du jedem Menschen vertraust und nicht mit Fremden oder gar Kunden in Kontakt kommst ;-)

Noch nicht abschließend, aber wir arbeiten ja dran.

Wenn Du mich immer noch nicht verstanden hast kann ich Dir auch nicht mehr helfen.

 

[Finsinger]

Google News: Indien erhht Druck in Blackberry-Streit

Dazu gibt´s im entsprechenden Forum auch schon nen Thread, in dem alle, die sich auskennen, unisono der Meinung sind, dass RIM da nicht einknicken kann und auch nicht wird.

 

[lutzwohlfarth]

Was hältst Du davon
Android supersicher: Iris-Scan und Gesichtserkennung schützt Smartphones

Halte ich momentan eher für Spielerei. - Wie meinte in einem Thread diesbezüglich jemand, hoffentlich ist der Blitz standerdmäßig ausgeschalten

Aber eigentlich gehts mir nicht unbedingt um das Lock-Pattern, sondern allgemein um Sicherheit der Android-Phones. - Hätte aber gestern auch nicht gedacht, dass der Thread sich so entwickelt. Wollte gestern eigentlich nur kurz auf diese PDF hinweisen.

Aber Du bemängelst, dass generell das Sicherheitsdenken bei Android-Usern wenig ausgeprägt zu seien scheint?
Solang nicht jemand per Androidphone die Welt bedroht oder die Presse sich darauf einschießt, interessiert es höchstens 5% der Benutzer!
Das ist bei jedem Thema so (nicht nur elektronische Geräte)

Seufz, hast schon Recht.
Aber wie ich heut früh schon geschrieben hab, warte ich wirklich darauf, dass jemand ein großes Botnet aus Android-Smartphones baut, ich glaub beim iPhone gabs da schon mal Anfänge dazu.

Vielleicht kannst Du damit was anfangen. Mir gefällt es sehr!
Diebstahlschutz und Datenschutz fr Ihr Handy - Theft Aware fr Android und Nokia Symbian

Muss ich mir mal genauer anschauen.

Du bist ein richtiger Optimist ;-)

Paranoid und Optimist, na wenn das nix ist

 

[lutzwohlfarth]

@Kranki: Schon in Ordnung, Dein kurzes Posting hat mich heut früh nur auf dem falschen Fuß erwischt.

 

[gado]

Aber eigentlich gehts mir nicht unbedingt um das Lock-Pattern, sondern allgemein um Sicherheit der Android-Phones.

Wie ich oben schon erklärt habe ist das ein Laster von allen Smartphones. Die einzige Lösung wäre eine Vollverschlüsselung und keine einzige Sicherheitslücke. Das erste ist machbar, aber dort können Sicherheitslücken entstehen. Und Sicherheitslücken wird es immer geben. Jedes System ist unsicher. Hat sowas wie "Leute hört auf irgendwas zu benutzen, es ist unsicher!". Windows, Mac OS, jede Linux Distribution, Symbian, Windows Mobile, iOS, Android, Bada und hast du nicht gesehen haben alle Sicherheitslücken, die nur noch nicht bekannt sind. Jetzt zu sagen, dass alles scheiße ist, weil sie Sicherheitslücken haben ist kalter Kaffee. Es gibt zig Leute, die irgendwas lesen und dann alle vor diesen Gefahren warnen will, obwohl sie das Problem als solches gar nicht wirklich richtig einschätzen können.

Dazu muss man auch sagen, dass Probleme immer leicht anzuprangern sind. Lösungsansätze wären hilfreicher. Android als einziges System anzuprangern macht kein Sinn, dann kauft man sich ein anderes OS und das gleiche Problem. Das einzige Problem ist, dass Sicherheitslücken nicht auf jedem Android mal eben gefixt werden können. Das schafft zur Zeit nur Apple mit dem iPhone. Da sieht man auch, dass eine Sicherheitslücke nach der anderen kommt und keine Ende in Sicht ist. Der letzte Jailbreak, der eben über den Browser ausgeführt werden konnte, zeigt das ganz gut. Aber da wird sich Google was einfallen lassen. Android verbessert sich mit jedem Upgrade stark.