Encryptie Android minder robuust dan iOS

Door: Raymon Mens - 18 reacties

Zowel Android als iOS maken gebruik van full disk encryption waarmee alle data op een smartphone of tablet volledig versleuteld wordt. De versleuteling van Android blijkt echter verre van waterdicht. Dat ontdekte beveiligings­onderzoeker Gal Beniamini.

De zogenaamde master key waarmee alle data te ontsleutelen is, kan op Android-apparaten op verschillende manieren achterhaald worden. Dat komt omdat deze vooral softwarematig beschermd wordt

Trust Zone vs. Secure Enclave

Android-apparaten gebruiken een Trust Zone om encryptiesleutels in op te slaan. Dit is een serie beveiligingsmaatregelen in chips van onder andere Qualcomm. Een applicatie genaamd KeyMaster communiceert met de Trust Zone en regelt het beheer van de keys. Door twee softwarematige kwetsbaarheden (CVE-2015-6639 en CVE-2016-2431) te combineren, kreeg een beveiligingsonderzoeker toegang tot de Trust Zone en kon zo de master key uitlezen.

Apple’s aanpak is heel anders. De keys van een iOS-apparaten zijn gebaseerd op een hardwarematige sleutel die, zoals de naam al doet vermoeden, niet afhankelijk is van software. De key wordt per bestand hardwarematig berekend en weer versleuteld met een eigen sleutel die afhankelijk is van een hardware-identificatiecode (die tijdens de fabricage in de telefoon is is geïnjecteerd) en de PIN-code van de gebruiker.

ios-enc
Diagram van de beveiliging van iOS.

Google zegt in een reactie tegen Ars Technica dat de kwetsbaarheden in januari en mei zijn gefikst. Echter is 37% van de Android-apparaten nog kwetsbaar omdat deze niet zijn bijgewerkt. Het is bovendien niet uit te sluiten dat er nog meer bugs misbruikt kunnen worden om de master key te achterhalen. Dan Guido, een specialist op het gebied van mobiele beveiliging, omschrijft het als volgt:

Google has always been behind on full disk encryption on Android. They have never been as good as the techniques that Apple and iOS have used. They’ve put all their cards in this method based on TrustZone and based on the keymaster, and now it’s come out how risky that is. It exposes a larger amount of attack surface. It involves a third party in the full disk encryption, and all this extra software that handles this key could potentially have bugs that allow an attacker to read it back out.

Reacties

18 reacties
  • Profielfoto
    KarelWillem

    Het is bovendien niet uit te sluiten dat er nog meer bugs misbruikt kunnen worden om de master key te achterhalen.

    .
    Ja, je weet naar nooit hè?:)

  • Profielfoto
    Alison

    Kan ik nu mijn oma niet meer bellen met mijn Android telefoon?

    Alison

  • Profielfoto
    apple-man

    Dat Android minder goed beveiligt is dan iOS is oud nieuws dat is al jaren zo.
    Er zijn gewoon te veel versies van Android. Daarbij draait op slechts 1.2% van alle actieve Android apparaten op Android 6 Marshmallow. Dan word het zeer moeilijk je gebruikers optimaal te beschermen als mensen niet updaten naar de nieuwste versie. Maar de oplossing is simpel minder vaak met een nieuwe versie komen en een bestaande versie langer bij blijven werken met updates.

    http://www.gsmhelpdesk.nl/nieuws/12256/slechts-een-op-de-honderd-android-smartphones-draait-op-nieuwste-android-versie

  • Profielfoto
    bassbug

    Daarbij draait op slechts 1.2% van alle actieve Android apparaten op Android 6 Marshmallow. Dan word het zeer moeilijk je gebruikers optimaal te beschermen als mensen niet updaten naar de nieuwste versie.

    Geloof niet dat Android gebruikers (scheer voor het gemak alles onder 1 kam) hier wakker van liggen…
    Zoiets van ‘ik heb niets te verbergen’. Natuurlijk heb je iets te verbergen! Waarom doe je de deur op slot als je naar de WC gaat, om maar iets te noemen?:evil:

  • Profielfoto
    apple-man

    bassbug Je zegt dus dat android gebruikers er niet waker van liggen dat zei niet de nieuwste software hebben. Bedoel je daarmee dat deze mensen van de soort zijn die niks geven om goed beveiligt te zijn. Als dat echt zo is vind ik het zeer dom van deze mensen om geen gebruik te maken van apparaten waar software opstaat die optimaal beveiligt is. Dat vind ik dus vragen om problemen en vervolgens zitten te zaniken als ze daardoor problemen krijgen.

  • Profielfoto
    bassbug

    Laat ik het anders zeggen. Waarom is er zo veel versplintering van Android versies?

    Tuurlijk in landen waar mensen weinig te besteden hebben kunnen niet om de twee jaar een nieuwe telefoon kopen die de laatste versies draaien.

    Echter veel Android gebruikers vinden de iPhone (of Apple) te duur (met kreten als ‘ga ik niet uitgeven’ of ‘Apple zijn afzetters!’….) en die nemen genoegen met een telefoon die (veel) goedkoper is maar ook weinig ondersteuning krijgen qua updates.

    Tja, dan kan ik niet anders dan concluderen dat er weinig aandacht of belang wordt gehecht aan goede beveiliging (‘ik stuur alleen maar wat Whats apps…’)

    Of zie ik het helemaal verkeerd?:smile:

  • Profielfoto
    Zakske

    Daarbij draait op slechts 1.2% van alle actieve Android apparaten op Android 6 Marshmallow.

    Ik heb het idee dat je dat cijfer gewoon uit je grote teen hebt gezogen…

  • Profielfoto
    Tys Brenets

    Nee hoor, je zegt het precies goed! Ik ben om die reden heel blij met een iPhone.

  • Profielfoto
    apple-man

    bassbug

    je ziet het zeker niet verkeerd. Maar laat ik het anders stellen een airbag tegenwoordig standaard in elke auto aanwezig. Stel nu dat een auto fabrikant jou de mogelijkheid geeft om een auto te kopen zonder een airbag er in en deze daardoor 20.000 kost in de plaats van 30.000 euro wat zou jij dan doen.

    en als ik er over na denk hoeft een goed beveiligde smartphone helemaal niet duur te zijn. Android is gewoon geen goed platform dat heeft niets met duur of goedkoop te maken. Althans dat vind ik tenzij ik het helemaal verkeerd zie

  • Profielfoto
    bassbug

    Of Android goed of niet goed is, is een discussie waar we nooit uitkomen.

    Het feit is dat Android populair is omdat er (zeer) goedkope toestellen te verkrijgen zijn. iedereen die een telefoon met Android wil maken krijgt van Google toestemming om het gratis erop te zetten. En nu Apple met hun iPhone… Totaal anders.

    Toestellen in de duurdere prijsklassen (duurdere Samsungs, Sony, etc.) krijgen heus wel wat ondersteuning, maar die houden ook na 1 a 2 jaar ermee op.
    Goedkope Android toestellen daarentegen?… En nu Apple met hun iPhone….

    Tja, in de prijs van een iPhone zit ook zaken als langdurige ondersteuning, goede beveiliging etc.

  • Profielfoto
    apple-man

    Daarbij draait op slechts 1.2% van alle actieve Android apparaten op Android 6 Marshmallow.

    Ik heb het idee dat je dat cijfer gewoon uit je…

    Ik heb dat cijfer zeker niet uit mijn grote teen hebt gezogen. Ik heb dit cijfer uit de hier onder genoemde bron. Ik vermeld als ik iets beweer altijd een bron waar ik deze info vandaan heb. Dit om te vermijden voor leugenaar te worden uitgemaakt.

    http://www.gsmhelpdesk.nl/nieuws/12256/slechts-een-op-de-honderd-android-smartphones-draait-op-nieuwste-android-versie

    En er staat duidelijk in dat artikel vermeld dat Uit de nieuwe distributie cijfers van Google blijkt dat vier maanden na de introductie van Android 6.0 Marshmallow het aantal Android smartphones dat op deze nieuwe Android versie draait nog steeds verwaarloosbaar is. Slechts 1,2 procent van alle actieve Android apparaten draait nu op Android 6.0 Marshmallow.

  • Profielfoto
    apple-man
  • Profielfoto
    Zakske

    Slechts 1,2 procent van alle actieve Android apparaten draait nu op Android 6.0 Marshmallow.

    Je zegt dat “slechts 1,2 procent van alle actieve Android apparaten nu op Android 6.0 Marshmallow draait”, maar je gebruikt cijfers van 1 februari 2016. Als je op de link in je bron klikt kom je uit op het Dashboard van Android Developers, en daar staat dat het cijfer momenteel 10,1% is. Iedereen weet dat updates bij Android trager verlopen dan bij iOS, tenzij je een Nexus koopt.

  • Profielfoto
    apple-man

    als dat cijfer sinds 1 februari 2016 van 1.2% is gestegen naar 10.1% is dat op 6 maanden tijd een stijging van 8.9%. Sorry dat ik het zeg maar dat vind ik op zijn zachts gezegd een zeer teleurstellend cijfer. Als ik die 10.1% omdraai betekend dat 89.9% van de android gebruikers dus niet de laatste nieuwe versie gebruikt. Dan doet android kitkat het met een aandeel van 35.5% het van alle versies het beste dat gezegd hebbende gebruikt 64.5% een verzie oude dan kitkat en lopen de meeste mensen dus 3 versies achter als deze cijfers kloppen.

  • Profielfoto
    ocramarco

    Daarbij draait op slechts 1.2% van alle actieve Android apparaten op Android 6 Marshmallow. Dan word het zeer moeilijk je gebruikers optimaal te beschermen als mensen niet updaten naar de nieuwste versie.

    Geloof niet dat Android gebruikers (scheer voor het gemak alles onder 1 kam) hier wakker van liggen…
    Zoiets van ‘ik heb niets te verbergen’. Natuurlijk heb je iets te verbergen! Waarom doe je de deur op slot als je naar de WC gaat, om maar iets te noemen?:evil:

    Ik ben blijkbaar zo iemand dat het niet zo boeiend vind… Niets is minder waar. Vind beveiliging zeker wel belangrijk maar de rest van het toestel zal me een worst zijn. Ik heb alleen een goed adresboek nodig en kan bellen en sms’en. Het blijft immers een telefoon.

    Het is gewoon schandalig dat fabrikanten hun toestelen weigeren te updaten terwijl de updates voor het oprapen liggen. Dan mag het toestel wel goedkoop zijn en sommige dingen slechter zijn dan de vlaggenschepen maar het minste wat ik als consument nag verwachten is dat de veiligheids updates gewoon worden gedaan en zeker als we het over een periode van 2 a 3 jaar hebben. Heb een tijdje een Xperia sp gehad die is sinds de aankoop 2x geupdate ofzo, dat kan gewoon niet waar zijn!

  • Profielfoto
    zepkleiker

    als dat cijfer sinds 1 februari 2016 van 1.2% is gestegen naar 10.1% is dat op 6 maanden tijd een stijging van 8.9%. Sorry dat ik het zeg maar dat vind ik op zijn zachts gezegd een zeer teleurstellend cijfer. Als ik die 10.1% omdraai betekend dat 89.9% van de android gebruikers dus niet de laatste nieuwe versie gebruikt. Dan doet android kitkat het met een aandeel van 35.5% het van alle versies het beste dat gezegd hebbende gebruikt 64.5% een verzie oude dan kitkat en lopen de meeste mensen dus 3 versies achter als deze cijfers kloppen.

    Natuurlijk is 10.1% het weinig. Natuurlijk had het meer moeten zijn. Maar dat wil niet zeggen dat je dan maar gewoon een cijfer van 1.2% als vasstaand feit de wereld in kunt gooien.

  • Profielfoto
    bassbug

    Het is gewoon schandalig dat fabrikanten hun toestelen weigeren te updaten terwijl de updates voor het oprapen liggen. Dan mag het toestel wel goedkoop zijn en sommige dingen slechter zijn dan de vlaggenschepen …..
    ……
    Heb een tijdje een Xperia sp gehad die is sinds de aankoop 2x geupdate ofzo, dat kan gewoon niet waar zijn!

    Maar dat klopt dan toch wat ik zei?…
    (helaas)

  • Profielfoto
    apple-man

    ocramarco

    Je hebt smartphone in verschillende prijsklasse van 200 tot wel 900 euro
    wat een smartphone ook kost duur of goedkoop je mag van een fabrikant verwachten dat ze de boel goed bijhouden qua updates. En soms heb ik de indruk dat ze goedkope toestellen bewust minder goed bijhouden in de hoop dat je een duurder neemt. Ze zegen wel eens dat goedkoop duur koop is. Maar als ik vragen mag je zegt dat je een tijdje een Xperia hebt gehad en dat die 2x geüpdatet is. Hoe lang heb je die Xperia gehad.