Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren

Sicherheitsrisiko: Sperrmuster lässt sich fast mühelos aushebeln

Nico Heister
37

Ein Entwickler im Forum der XDA Developers hat eine Methode gefunden, mit der sich das Sperrmuster von fast jedem Android-Gerät ab Version 2.3 nahezu problemlos aushebeln lässt.

Damit die Lücke ausgenutzt werden kann, muss auf dem Gerät USB-Debugging aktiviert sein. Ist dies der Fall, dann werden mit Hilfe von ADB und ein paar Code-Zeilen einige Einstellungen an eurem Androiden verändert. Nach einem Neustart des Telefons genügt es dann, irgendein beliebiges Muster einzugeben, um das Smartphone zu entsperren und kompletten Zugriff darauf zu bekommen.


Bisher ist noch nicht bestätigt, ob der Trick wirklich mit jedem Modell funktioniert. Ersten Anwenderberichten zufolge soll die Lücke zumindest in den Nightlies vom beliebten ROM CyanogenMod 10 geschlossen sein. Wer auf Nummer sicher gehen will, sollte auf jeden Fall USB-Debugging in den Entwickleroptionen deaktivieren und eine alternative Display-Sperre wie PIN oder Passwort verwenden. 

Kommentare

Neuen Kommentar schreiben:
  • Steff Kahn 26.08.2012 Link

    bei meinem samsung galaxy s wifi 4.0 klappts nicht

    0
  • Jörg V. 21.08.2012 Link

    Danke Nico!

    0
  • Nico Heister
    • Admin
    • Staff
    21.08.2012 Link

    Hallo,

    wir haben die Überschrift gerade dank eures Feedbacks angepasst.
    Vielen Dank für die zahlreichen Hinweise!

    0
  • Izzy 20.08.2012 Link

    Hm, so neu ist das nicht wirklich: https://viaforensics.com/viaextract/viaextract-pattern-lock-decoding.html -- da lässt sich das Muster sogar auslesen (siehe Screenshots). Dieser Artikel stammt übrigens vom Oktober letzten Jahres...

    0
  • PeterShow 20.08.2012 Link

    @Thomas B.
    Danke für die Ausführungen das wusste ich nicht.. werde auch nicht verschlüsseln.. hab meine PC-Platten aus dem Grunde auch nicht verschlüsselt.. wird auch keiner bei mir einbrechen und die Festplatten klauen ^^

    0
  • Thomas B. 20.08.2012 Link

    @SuperSam

    Android bietet ab 3.0 (nur für Tablets) bzw. 4.0 (auch für Phones) eine Speicherverschlüsselung von Haus aus an. Damit wird die Partition /data und auch der Inhalt von /sdcard verschlüsselt und kann nur nach Eingabe eines Passworts beim Bootvorgang entschlüsselt und gelesen werden. Nachteil dieser Verschlüsselung ist es, dass selbst Custom Recoverys nicht mehr auf diese Partitionen zugreifen können und auch kein Entschlüsseln mit Hilfe einer Passworteingabe unterstützen. Das heißt man ist an sein aktuellen Rom gebunden und kann kein neues (Custom) Rom flashen ohne vorher /data und /sdcard neu formatiert zu haben. Trotzdem ist es ein nettes Sicherheitsfeature, das Diebe von den eigenen Daten verhält, da das aktivieren der Verschlüsselung gleichzeitig den User dazu zwingt, ein Passwort bzw ein PIN für die Bildschirmsperre zu nutzen (und ein Passwort bzw PIN auch nicht so leicht umgangen werden kann wie ein Pattern)

    0
  • Jörg V. 20.08.2012 Link

    Ich verstehe nicht, warum man hier trotz all der Hinweise nicht mal im Titel das "Sicherheitsleck" rausnimmt .. Das ist ja peinlich

    0
  • Daniel B. 20.08.2012 Link

    > Nico H.
    "Wenn ihr euer Smartphone aus Versehen irgendwo vergesst und USB-Debugging aktiviert ist, dann könnte man ganz einfach an eure sensiblen Daten kommen und eben das ist das pikante Detail daran."

    Und wenn du dein Phone irgendwie vergisst ohne Sperrmuster kann jeder Depp an deine sensiblen Daten. So what?
    Die geringste Sicherheit ist mehr als keine Sicherheit. Nirgends wird das Sperrmuster als sicheres System beworben.

    Wenn ich per ADB Zugriff auf ein Gerät hab dann kümmert mich das Sperrmuster schon seit je her einen Scheiß. Linux? Konsole? Merkste was?

    Und wer zum Henker hat den Debug Mode an wenn er ihn nicht braucht? Nur Leute die Ruth auf ihrem Telefon sind (ja RUTH!)

    Man kann auch einfach sagen, "okay, der Blog war vielleicht ein wenig arg reißerisch wenn man bedenkt, dass es bei dem Beitrag auf XDA um das öffnen des eigenen Telefons bei vergessen des Sperrmusters ging".
    Is keine Schande. Wir haben schließlich keine iPhones und sind uns zum größten Teil durchaus bewusst was geht und was nicht.

    0
  • Arvid Gerstmann 20.08.2012 Link

    Alt. Da habe ich schon vor ca. 1 Jahr ein Video zu gemacht, kannst du ruhig einbinden.

    http://www.youtube.com/watch?v=jycqnKR21h0&feature=plcp

    0
  • Oli 20.08.2012 Link

    Ich bin mir nicht sicher ob man das von einem Entwickler- Standpunkt aus als Lücke sehen sollte.

    0
  • Nico Heister
    • Admin
    • Staff
    20.08.2012 Link

    Vielen Dank für die zahlreichen, auch teils kritischen, Kommentare!

    Ihr dürft auch folgende Sache nicht vergessen:

    Wenn ihr euer Smartphone aus Versehen irgendwo vergesst und USB-Debugging aktiviert ist, dann könnte man ganz einfach an eure sensiblen Daten kommen und eben das ist das pikante Detail daran. Ich würde deshalb nicht davon sprechen, dass es ein "Feature" von ADB ist, da man hier Sicherheitsmechanismen gezielt aushebeln kann.

    Und klar: Natürlich kann man bei einem gestohlenen Telefon als Dieb auch einfach einen Full-Wipe durchführen, aber dann sind natürlich auch alle Daten weg (SD-Karten mal außen vor gelassen).
    Deshalb fanden wir es wichtig, dass wir auf diese Problematik aufmerksam machen und gleichzeitig auch Tipps geben, wie man sich schützen kann.

    0
  • PeterShow 20.08.2012 Link

    @Thomas B

    Und wie willst du den Speicher verschlüsseln??

    0
  • tob H. 20.08.2012 Link

    Naja nächste Woche heisst es ein Geldautomat lässt sich auch leicht austricksen. Ich muss nur mal schnell ins System, eine paar Zeilen Code eingeben und nach einem neustart kann ich beliebige Geldsummen abheben. Ausgehebelt wäre es wenn jemand mein Sperrmuster austricksen kann ohne vorher was verändert zu haben. Wenn ich an das Gerät ohne Sperrmuster komme um etwas daran zu verändern kann ich auch USB Debugging selbst einschalten falls es noch aus sein sollte.

    0
  • Adil 20.08.2012 Link

    Unnötig... ebenso könnte man einfach ( aufgrund von aktiviertem USB edbugging) das handys über downloadmodus (zumindest bei samsung) einfach flashen oder recovery modus und dann wekeinstellungen, ganz einfach.

    da gibt es einiges , daher macht nicht unnötig euren kopf kaputt wegen diesen ganzen sperren, diese sachen dienen in erster linie nur dzau, dass erstmnal keine deine Daten direkt sieht oder kontakte Bilder klauen kann oder was weiß ich.

    DAHER RUHIG BLUT

    Wer immer noch angst hat, der soll sein Handy in den Safe legen und in Ketten legen, damit da bloß keiner rankommt....

    oh man...

    0
  • Thomas B. 20.08.2012 Link

    Titanium Backup will ADB debugging nur für ganz alte Versionen von su... Man kann schon lange diese Warnung einfach in den Optionen abstellen oder jedes mal weg drücken und Titanium Backup läuft ohne irgendwelche Probleme... Annähernd totale Sicherheit gibt es eh nur mit einem aktuellen Android (also Nexus Reihe) gelocketem Bootloader, Stock recovery, kein root, abgestellten adb debugging und verschlüsselten Speicher. Ansonsten gibt es immer eine recht einfache Möglichkeit an persönliche Daten zu kommen. Ob einem die Daten diese Einschränkungen wert sind muss jeder für sich entscheiden.

    0
  • PeterShow 20.08.2012 Link

    Titanium-Backup will das man das man USB-Debbuging an hat. Und wenn man das Phone schon geklaut hat, kann man auch die Sim welcheln und dann neustarten Sim-Summer eingeben und an alle Daten kommen...

    0
  • Carsten M. 20.08.2012 Link

    Diese "News" ist ja mal wieder atemberaubend.

    Effekthascherei.

    0
  • Patrick 20.08.2012 Link

    Sicherheitsleck? Äh, weiß ja nicht ob das schon jemand bemerkt hat, aber über adb (USB Debugging) lässt sich (insbesondere auf gerooteten Droiden) so gut wie alles machen!
    Die lächerliche "Tastensperre" zu überlisten ist da wohl das geringste Übel. Viele Apps speichern sogar Passworte und Authentifizierungstokens im Klartext in ihrem /data/data/... Verzeichnis die über adb trivial ausgelesen werden können, egal ob mit Sperrmuster oder ohne.

    Wie Christian richtig sagt, es ist keine Sicherheitslücke sondern ein Entwicklerfeature und extrem mächtig. Wer also sein Gerät nicht nur zum rumprobieren und entwickeln benutzt sollte unbedingt USB-Debugging ausgeschaltet haben. Leider lässt es sich teils einfach im Recovery wieder aktivieren.
    Ich hab ehrlich gesagt lieber ein Phone, was alles kann und mir alles erlaubt und nicht so ein abgeschottetes iPfone.
    Also richtige Sicherheit wird man unter Vollverschlüsselung (seit 3.0 sogar serienmässig dabei) sichern nicht erreichen. 100% Sicherheit ist aber auch damit nicht gewährleistet.

    0
  • Julian M. 20.08.2012 Link

    Hat man ein bisschen Werbung für Carsten gemacht :D

    0
  • Anton W. 20.08.2012 Link

    Laut chip.de muss zusätzlich noch das Android Software Development Kit installiert sein, damit man das Entsperrmuster überwunden werden kann.

    0
Zeige alle Kommentare