‘99,7% van Android-toestellen bevat nutteloze encryptie’

Door: Raymon Mens - 5 reacties

Als het op versleuteling van smartphones en tablets aankomt, kan Android van iOS leren. Volgens cryptograaf Matthew Green van de Johns Hopkins University is Google’s poging om versleuteling van het bestands­systeem te implementeren hooguit halfbakken.

In een analyse schrijft de professor dat Android aanvankelijk nutteloze encryptie implementeerde en pas dit jaar met Android 7.0 in de buurt komt van wat Apple al sinds iOS 4 uit 2010 voor elkaar heeft.

Nutteloze encryptie

Het doel van een versleuteld bestandssysteem is de bestanden op de telefoon ontoegankelijk maken voor iedereen die de toegangscode niet heeft. Android bevatte van versie 4.4 tot 6.0 echter alleen full disk encryption wat wil zeggen dat de bestanden alleen versleuteld worden wanneer het toestel volledig uitgeschakeld wordt. Eenmaal ingeschakeld en Ă©Ă©nmaal de toegangscode ingevuld, blijven bestanden ontgrendeld, zelfs wanneer de telefoon vergrendeld is. Omdat smartphones bijna nooit uitgeschakeld worden, is dit praktisch nutteloos, concludeert Green.

iOS bevat sinds versie 4.0 uit 2010 al file based encryption waarbij bestanden individueel versleuteld kunnen worden en de sleutel om toegang tot de bestanden te krijgen uit het werkgeheugen wordt gehaald bij het vergrendelen van de iPhone of iPad. Pas bij het invoeren van de toegangscode, die als deel van de encryptiesleutel dient, worden bestanden weer ontgrendeld.
iphone-codeslot-16x9

Verbetering in Android 7.0

Google heeft in de meest recente Android-versie 7.0 ook file based encryption ingeschakeld, maar data in apps wordt nog steeds niet zo goed beschermd als op iOS. Dit komt omdat Android de sleutel die nodig is om data in apps te raadplegen bij het locken van de smartphone nog steeds in het werkgeheugen laat staan, waardoor deze -in theorie- te stelen is.

iOS geeft ontwikkelaars zelf de keuze tussen: sleutel bij locken vernietigen (full protection, het veiligst), in geheugen laten staan tot een reboot of geen sleutel vereisen voor het schrijven van nieuwe bestanden, dat wordt bijvoorbeeld gebruikt bij het maken van een foto vanaf het lock screen.

De cryptograaf concludeert dat Android nooit zo veilig zal worden als iOS, omdat bij het implementeren van verplichte full protection een boel apps stoppen met werken. Natuurlijk kan Google net als Apple de keuze aan de ontwikkelaar laten, maar apps moeten dan bijgewerkt worden om de full protection te implementeren, dat laat oude apps onveilig.

Momenteel draait 99,7% van de Android-apparaten op een versie ouder dan Android 7 Nougat. De complete diepgravende analyse van Matthew Hopkins is het lezen waard.

Reacties

5 reacties
  • Profielfoto
    zepkleiker

    One More Android Thing.

  • Profielfoto
    ocramarco

    Dat is inderdaad wel een nadeeltje van Android. Ben wel benieuwd hoeveel mensen evernote en allerhande to do en agenda apps gebruiken die uiteindelijk ook ergens staat dat niet ge-encrypt staat. Want beveiliging van je gegevens moet je totaal zien namelijk.

  • Profielfoto
    Tys Brenets

    Normaal zou ik het bashen vinden, maar ik sta helemaal achter dit artikel.

  • Profielfoto
    Alexander Henket

    Zou Google zelf niet nogal last hebben van echt goede versleuteling als in: dat maakt minen ervan lastiger?

  • Profielfoto
    tinus_omt

    Nee. De data wordt automatisch gedecodeerd als hij wordt opgevraagd. Voor legitieme doeleinden maakt het dus niet uit.

    Een praktisch probleem bij android is wel dat de meeste gebruikers een patroon als code of anders een erg korte pincode hebben en er is geen speciale beveiligingshardware. Dat maakt het erg gemakkelijk om de sleutels door alle mogelijkheden te proberen te achterhalen.