X

Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren

Sicherheitsrisiko: Sperrmuster lässt sich fast mühelos aushebeln

Nico Heister
37

Ein Entwickler im Forum der XDA Developers hat eine Methode gefunden, mit der sich das Sperrmuster von fast jedem Android-Gerät ab Version 2.3 nahezu problemlos aushebeln lässt.

Damit die Lücke ausgenutzt werden kann, muss auf dem Gerät USB-Debugging aktiviert sein. Ist dies der Fall, dann werden mit Hilfe von ADB und ein paar Code-Zeilen einige Einstellungen an eurem Androiden verändert. Nach einem Neustart des Telefons genügt es dann, irgendein beliebiges Muster einzugeben, um das Smartphone zu entsperren und kompletten Zugriff darauf zu bekommen.


Bisher ist noch nicht bestätigt, ob der Trick wirklich mit jedem Modell funktioniert. Ersten Anwenderberichten zufolge soll die Lücke zumindest in den Nightlies vom beliebten ROM CyanogenMod 10 geschlossen sein. Wer auf Nummer sicher gehen will, sollte auf jeden Fall USB-Debugging in den Entwickleroptionen deaktivieren und eine alternative Display-Sperre wie PIN oder Passwort verwenden. 

Kommentare

Neuen Kommentar schreiben:
  • Steve "EnteEnteEnte" W. aus B. an der S. 20.08.2012 Link

    Schaun wa ma ^^

    0
    0
  • Pascal H. 20.08.2012 Link

    Dazu müsste man erst mal an mein handy kommen

    0
    0
  • Benedikt K 20.08.2012 Link

    Ich sicher es überhaupt nicht, ausser auf Partys und da nutze ich einen Pin ;)

    0
    0
  • Tom schweegmann 20.08.2012 Link

    eh ,schlau das auch noch zu verbreiten, wie das geht-.-
    Ausserdem muss der Dieb sich dann erstmal stehlen sich damit gut auskennen, und auch noch Glück haben, das auf dem handy ein sperrmuster verwendet wird...

    0
    0
  • DerZombie 20.08.2012 Link

    Nutzt das Ding e nur wenn ich weg bin, damit meine "Freunde" ned unendlich Optimierungen vornehmen können. Dafür taugts allemal

    0
    0
  • JOnas S 20.08.2012 Link

    wer hat den schon USB debuding an außer bei bestimmten sachen

    0
    0
  • Daniel Resimic 20.08.2012 Link

    Das wurde doch schon auf der CeBit gezeigt (an irgendeiner Versantlatung dort).
    Mann konnte das live mitverfolgen quasi :)

    0
    0
  • User-Foto
    Andy 20.08.2012 Link

    das wischmuster sieht man meistens sowieso sehr deutlich...

    0
    0
  • SanMairtin 20.08.2012 Link

    Das Muster lässt sich über die Methode aber nicht mehr aushebeln, wenn eine Anti-Theft-Software installiert ist, wie Avast Anti-Theft insatlliert ist, die im Fall eines Verlustes/Diebstahls - andere Gründe sehe ich so nicht, diesen "Hack" anzuwenden, alles sperrt, wie Telefon, Programm-Manager oder auch das USB-Debugging. Avast macht das zum Beispiel sobald die SIM-Karte gewechselt wird und die neue nicht als "sicher" erkannt wird.

    0
    0
  • Willi 20.08.2012 Link

    Was is des für ne Batman app oben links??:D

    0
    0
  • Frank K. 20.08.2012 Link

    Das Entsperr-Muster ist eine unsichere Sperrmethode. Was für Neuigkeiten!

    0
    0
  • User-Foto
    Admin
    Nico Heister 20.08.2012 Link

    @ Willi: Die App heißt "Batification" und ist die beste App überhaupt! ;)

    http://www.androidpit.de/de/android/forum/thread/473023/Neue-App-Batification-Bat-your-app

    0
    0
  • Frank P. 20.08.2012 Link

    Wer ADB dauerhaft aktiv hat sollte sich nicht wundern. ;)

    Sehe da keine Sicherheitslücke sondern ein Feature über ADB das aushebeln zu können.

    0
    0
  • Christian Brüggemann 20.08.2012 Link

    USB Debugging aktiviert zu lassen ist generell keine gute Idee. Das ist keine Lücke im System, sondern ein Entwickler-Feature.

    0
    0
  • Alexander W. 20.08.2012 Link

    meins ist so alt das ist unter Version 2.3^^ naja ich hab auch noch avasr drauf zum orten alarmanlage losgehn lassen und kanns noch komplett speeren... sollte ja reichen und das htc wildfire wird eh keiner mehr klauen^^ sieht zwar noch aus wie neu

    0
    0
  • T.K. 20.08.2012 Link

    Immer der gleiche Schwachsinn: Irgendwelche Experten überlisten ein System und das soll dann exemplarisch sein? Nur für was? Was soll mir das sagen? Fange keinen Ubootkrieg an wenn Deine Enigma entschlüsselbar ist oder was?

    Das Entsperrmuster soll z.B.gegen schnelles Ausspioieren von Kollegen sein, falls ich das Phone mal im Büro liegenlasse. Mehr nicht. die können es nicht überwinden, weil es Laien sind.

    Diese blöde Diskussion beobachtet man bei EC Karten seit 30 Jahren und trotzdem gibt es sie und jeder nutzt sie, weil der Nutzen weit grösser ist als der Schaden durch ein paar Computerfreaks.

    0
    0
  • Anton W. 20.08.2012 Link

    Laut chip.de muss zusätzlich noch das Android Software Development Kit installiert sein, damit man das Entsperrmuster überwunden werden kann.

    0
    0
  • Julian M. 20.08.2012 Link

    Hat man ein bisschen Werbung für Carsten gemacht :D

    0
    0
  • Patrick 20.08.2012 Link

    Sicherheitsleck? Äh, weiß ja nicht ob das schon jemand bemerkt hat, aber über adb (USB Debugging) lässt sich (insbesondere auf gerooteten Droiden) so gut wie alles machen!
    Die lächerliche "Tastensperre" zu überlisten ist da wohl das geringste Übel. Viele Apps speichern sogar Passworte und Authentifizierungstokens im Klartext in ihrem /data/data/... Verzeichnis die über adb trivial ausgelesen werden können, egal ob mit Sperrmuster oder ohne.

    Wie Christian richtig sagt, es ist keine Sicherheitslücke sondern ein Entwicklerfeature und extrem mächtig. Wer also sein Gerät nicht nur zum rumprobieren und entwickeln benutzt sollte unbedingt USB-Debugging ausgeschaltet haben. Leider lässt es sich teils einfach im Recovery wieder aktivieren.
    Ich hab ehrlich gesagt lieber ein Phone, was alles kann und mir alles erlaubt und nicht so ein abgeschottetes iPfone.
    Also richtige Sicherheit wird man unter Vollverschlüsselung (seit 3.0 sogar serienmässig dabei) sichern nicht erreichen. 100% Sicherheit ist aber auch damit nicht gewährleistet.

    0
    0
  • Carsten M. 20.08.2012 Link

    Diese "News" ist ja mal wieder atemberaubend.

    Effekthascherei.

    0
    0
  • PeterShow 20.08.2012 Link

    Titanium-Backup will das man das man USB-Debbuging an hat. Und wenn man das Phone schon geklaut hat, kann man auch die Sim welcheln und dann neustarten Sim-Summer eingeben und an alle Daten kommen...

    0
    0
  • Thomas B. 20.08.2012 Link

    Titanium Backup will ADB debugging nur für ganz alte Versionen von su... Man kann schon lange diese Warnung einfach in den Optionen abstellen oder jedes mal weg drücken und Titanium Backup läuft ohne irgendwelche Probleme... Annähernd totale Sicherheit gibt es eh nur mit einem aktuellen Android (also Nexus Reihe) gelocketem Bootloader, Stock recovery, kein root, abgestellten adb debugging und verschlüsselten Speicher. Ansonsten gibt es immer eine recht einfache Möglichkeit an persönliche Daten zu kommen. Ob einem die Daten diese Einschränkungen wert sind muss jeder für sich entscheiden.

    0
    0
  • Sherzad 20.08.2012 Link

    Unnötig... ebenso könnte man einfach ( aufgrund von aktiviertem USB edbugging) das handys über downloadmodus (zumindest bei samsung) einfach flashen oder recovery modus und dann wekeinstellungen, ganz einfach.

    da gibt es einiges , daher macht nicht unnötig euren kopf kaputt wegen diesen ganzen sperren, diese sachen dienen in erster linie nur dzau, dass erstmnal keine deine Daten direkt sieht oder kontakte Bilder klauen kann oder was weiß ich.

    DAHER RUHIG BLUT

    Wer immer noch angst hat, der soll sein Handy in den Safe legen und in Ketten legen, damit da bloß keiner rankommt....

    oh man...

    0
    0
  • tob H. 20.08.2012 Link

    Naja nächste Woche heisst es ein Geldautomat lässt sich auch leicht austricksen. Ich muss nur mal schnell ins System, eine paar Zeilen Code eingeben und nach einem neustart kann ich beliebige Geldsummen abheben. Ausgehebelt wäre es wenn jemand mein Sperrmuster austricksen kann ohne vorher was verändert zu haben. Wenn ich an das Gerät ohne Sperrmuster komme um etwas daran zu verändern kann ich auch USB Debugging selbst einschalten falls es noch aus sein sollte.

    0
    0
  • PeterShow 20.08.2012 Link

    @Thomas B

    Und wie willst du den Speicher verschlüsseln??

    0
    0
  • User-Foto
    Admin
    Nico Heister 20.08.2012 Link

    Vielen Dank für die zahlreichen, auch teils kritischen, Kommentare!

    Ihr dürft auch folgende Sache nicht vergessen:

    Wenn ihr euer Smartphone aus Versehen irgendwo vergesst und USB-Debugging aktiviert ist, dann könnte man ganz einfach an eure sensiblen Daten kommen und eben das ist das pikante Detail daran. Ich würde deshalb nicht davon sprechen, dass es ein "Feature" von ADB ist, da man hier Sicherheitsmechanismen gezielt aushebeln kann.

    Und klar: Natürlich kann man bei einem gestohlenen Telefon als Dieb auch einfach einen Full-Wipe durchführen, aber dann sind natürlich auch alle Daten weg (SD-Karten mal außen vor gelassen).
    Deshalb fanden wir es wichtig, dass wir auf diese Problematik aufmerksam machen und gleichzeitig auch Tipps geben, wie man sich schützen kann.

    0
    0
  • Oli 20.08.2012 Link

    Ich bin mir nicht sicher ob man das von einem Entwickler- Standpunkt aus als Lücke sehen sollte.

    0
    0
  • Arvid Gerstmann 20.08.2012 Link

    Alt. Da habe ich schon vor ca. 1 Jahr ein Video zu gemacht, kannst du ruhig einbinden.

    http://www.youtube.com/watch?v=jycqnKR21h0&feature=plcp

    0
    0
  • Daniel B. 20.08.2012 Link

    > Nico H.
    "Wenn ihr euer Smartphone aus Versehen irgendwo vergesst und USB-Debugging aktiviert ist, dann könnte man ganz einfach an eure sensiblen Daten kommen und eben das ist das pikante Detail daran."

    Und wenn du dein Phone irgendwie vergisst ohne Sperrmuster kann jeder Depp an deine sensiblen Daten. So what?
    Die geringste Sicherheit ist mehr als keine Sicherheit. Nirgends wird das Sperrmuster als sicheres System beworben.

    Wenn ich per ADB Zugriff auf ein Gerät hab dann kümmert mich das Sperrmuster schon seit je her einen Scheiß. Linux? Konsole? Merkste was?

    Und wer zum Henker hat den Debug Mode an wenn er ihn nicht braucht? Nur Leute die Ruth auf ihrem Telefon sind (ja RUTH!)

    Man kann auch einfach sagen, "okay, der Blog war vielleicht ein wenig arg reißerisch wenn man bedenkt, dass es bei dem Beitrag auf XDA um das öffnen des eigenen Telefons bei vergessen des Sperrmusters ging".
    Is keine Schande. Wir haben schließlich keine iPhones und sind uns zum größten Teil durchaus bewusst was geht und was nicht.

    0
    0
  • Jörg V. 20.08.2012 Link

    Ich verstehe nicht, warum man hier trotz all der Hinweise nicht mal im Titel das "Sicherheitsleck" rausnimmt .. Das ist ja peinlich

    0
    0
  • Thomas B. 20.08.2012 Link

    @SuperSam

    Android bietet ab 3.0 (nur für Tablets) bzw. 4.0 (auch für Phones) eine Speicherverschlüsselung von Haus aus an. Damit wird die Partition /data und auch der Inhalt von /sdcard verschlüsselt und kann nur nach Eingabe eines Passworts beim Bootvorgang entschlüsselt und gelesen werden. Nachteil dieser Verschlüsselung ist es, dass selbst Custom Recoverys nicht mehr auf diese Partitionen zugreifen können und auch kein Entschlüsseln mit Hilfe einer Passworteingabe unterstützen. Das heißt man ist an sein aktuellen Rom gebunden und kann kein neues (Custom) Rom flashen ohne vorher /data und /sdcard neu formatiert zu haben. Trotzdem ist es ein nettes Sicherheitsfeature, das Diebe von den eigenen Daten verhält, da das aktivieren der Verschlüsselung gleichzeitig den User dazu zwingt, ein Passwort bzw ein PIN für die Bildschirmsperre zu nutzen (und ein Passwort bzw PIN auch nicht so leicht umgangen werden kann wie ein Pattern)

    0
    0
  • PeterShow 20.08.2012 Link

    @Thomas B.
    Danke für die Ausführungen das wusste ich nicht.. werde auch nicht verschlüsseln.. hab meine PC-Platten aus dem Grunde auch nicht verschlüsselt.. wird auch keiner bei mir einbrechen und die Festplatten klauen ^^

    0
    0
  • Izzy 20.08.2012 Link

    Hm, so neu ist das nicht wirklich: https://viaforensics.com/viaextract/viaextract-pattern-lock-decoding.html -- da lässt sich das Muster sogar auslesen (siehe Screenshots). Dieser Artikel stammt übrigens vom Oktober letzten Jahres...

    0
    0
  • User-Foto
    Admin
    Nico Heister 21.08.2012 Link

    Hallo,

    wir haben die Überschrift gerade dank eures Feedbacks angepasst.
    Vielen Dank für die zahlreichen Hinweise!

    0
    0
  • Jörg V. 21.08.2012 Link

    Danke Nico!

    0
    0
  • Steff Kahn 26.08.2012 Link

    bei meinem samsung galaxy s wifi 4.0 klappts nicht

    0
    0

Author
17

Nach Update auf 4.4 kann auf Speicherkarte nichts mehr gelöscht werden