FROST: Android-Daten im Eisschrank auslesen

von

Mit Android 4.0 hat Google das Verschlüsseln von Android-Geräten als Feature eingeführt. Dass auch die beste Verschlüsselung nicht perfekt ist und im Zweifel bei Verlust des PIN-Codes Daten gerettet werden können, zeigt das FROST-Projekt der Uni Erlangen.

FROST: Android-Daten im Eisschrank auslesen

Zwei Forscher der Uni Erlangen haben eine Möglichkeit gefunden, trotz Verschlüsselung des Geräts Daten zu extrahieren. Dazu benutzen sie ein Toolkit namens FROST (Forensic Recovery Of Scrambled Telephones), um “Cold Boot”-Angriffe gegen das Gerät zu starten und die Verschlüsselungs-Keys, sowie private Daten aus dem RAM zu lesen. Direkt gesagt sei, dass zwar bei allen Geräten Daten ausgelesen werden können, ein Gerät mit offenen Bootloader aber Voraussetzung ist, um an die Verschlüsselungs-Keys und den PIN zu kommen.

Zum Einsatz kam ein Galaxy Nexus mit der aktuellsten Android-Version und offenem Bootloader, die User-Partition war verschlüsselt. Um die Attacke auf das Gerät auszuführen, wurde es voll geladen und eingeschaltet für eine Stunde in einen Gefrierschrank mit einer Temperatur von unter -10°C gelegt. Dies diente dazu, die im Arbeitsspeicher gecachten Daten nach dem anschließenden Ausschalten des Geräts zu konservieren.

Generell ist zu sagen, dass der RAM nicht sofort nach dem Ausschalten alle Daten verliert. Abhängig von der Temperatur können diese für einen kurzen Zeitraum erhalten bleiben. In der nachfolgenden Grafik sieht man die Qualität einer aus dem RAM extrahierten Bilddatei in Abhängigkeit davon, wann sie extrahiert wurde (links sofort, rechts nach sechs Sekunden).

Nachdem das Gerät die gewünschte Temperatur angenommen hatte, wurde kurz der Akku entfernt, wieder eingesetzt und in den Fastboot-Modus gebootet. Viele der User-Daten waren noch nicht aus dem RAM gelöscht und so konnte auf sie zugegriffen werden. Im Fastboot-Modus haben die Forscher ein eigens entwickeltes Recovery-System auf das Nexus geflasht und damit die Verschlüsselungs-Keys und den PIN auslesen können.

Dem Zweierteam ist es damit erstmals gelungen, eine “Cold Boot”-Attacke auf einem Android-Gerät auszuführen. Sie betonen, dass es grundsätzlich keine Möglichkeit gebe, sich gegen solche Angriffe zu schützen, Nutzer aber darüber aufgeklärt sein sollten.

Da zur vollständigen Entschlüsselung ein Gerät mit offenem Bootloader nötig ist und der Aufwand der Entschlüsselung doch recht hoch ist, sollte für den normalen Nutzer keinerlei Gefahr bestehen. Wobei ich zugeben muss, dass ich persönlich auch niemanden kenne, der sein Android-Gerät verschlüsselt hat.

Weitere Infos, Bilder und das benutzte Recovery-Image zum Projekt gibt es auf der Seite von FROST.

Quelle: FROST, Androidcommunity


Kommentare zu diesem Artikel

Neue Artikel von GIGA ANDROID

Anzeige
GIGA Marktplatz