28.07.2014 Smartphone-Sicherheit: Überblick über Sicherheitsfunktionen aktueller Plattformen

Die große Vielfalt an Smartphone-Plattformen und deren konstante Weiterentwicklung erschwert es Benutzerinnen und Benutzern als auch IT-Administratorinnen und Administratoren, den Überblick über die auf den einzelnen Plattformen angebotenen Sicherheitsfunktionen zu behalten. A-SIT bietet mit einer neuen Studie einen Überblick über Sicherheitsfunktionen von aktuellen Smartphone-Plattformen.

Sichere Speicherung von Daten am mobilen Gerät

Um auf dem mobilen Gerät abgelegte Daten auch im Falle eines Diebstahls sicher zu verwahren, bieten mobile Plattformen Möglichkeiten zur Verschlüsselung des gesamten Dateisystems. Dabei werden nach dem Hochfahren des Geräts die Daten entschlüsselt. Dateisystemverschlüsselung schützt vor unerlaubten Zugriffen auf die Festplatte des Gerätes, bietet jedoch keinen Schutz, wenn das Gerät läuft und die Bildschirmsperre umgangen wurde.

iOSWindows Phone 8 und Blackberry 10 Geräte verwenden zur Verschlüsselung ein Hardware-Element, das den kryptografischen Schlüssel sicher verwahrt. Für die Entschlüsselung des Geräts wird keine zusätzliche Eingabe der Benutzerin bzw. des Benutzers benötigt. Android leitet den verwendeten Schlüssel hingegen von einem von der Benutzerin bzw. vom Benutzer gewählten Passcode ab. Daraus ergeben sich unterschiedliche Sicherheitsbetrachtungen:

  • Bei Verwendung eines Hardware-Elements zur Verschlüsselung kann eine Entschlüsselung der Daten nur am mobilen Gerät erfolgen. Es muss jedoch angemerkt werden, dass über die Durchführung eines Jailbreaks die Bildschirmsperre des Geräts umgangen und somit die Verschlüsselung ausgehebelt werden kann. Im Gegensatz zu früheren iOS Versionen sind für iPhones mit der aktuellen Version 7.1 und Windows Phone 8 Geräte aktuell noch keine Jailbreaks bekannt.
  • Da Android für die Dateisystemverschlüsselung kein Hardware-Element verwendet, kann ein Angriff auf die Verschlüsselung auch außerhalb des Geräts erfolgen. Die Sicherheit der abgelegten Daten ist somit hauptsächlich von der Länge und Komplexität des gewählten Passcodes abhängig. Laut einem Paper von P. Teufl et al. können selbst 8-stellige numerische Passwörter bei Verwendung von 1000 angemieteten Cloud-Instanzen innerhalb weniger Minuten geknackt werden. Seit Android Version 4.4 kommt jedoch eine neue Schlüsselableitungsfunktion zum Einsatz, die für die gleichwertige Sicherheitsklasse fast einen Tag zum Knacken des Passwortes benötigen. Aktuell laufen jedoch noch über 80% der Geräte mit älteren Android Versionen.

Bei iOS Geräten ist die Verschlüsselung des Dateisystems standardmäßig aktiv, bei Android muss diese von der Benutzerin bzw. vom Benutzer manuell aktiviert werden. Windows Phone 8 bietet Dateisystemverschlüsselung nur im Rahmen von Mobile Device Management und damit nur für Unternehmenskunden. Blackberry bietet eine Trennung von persönlichen und geschäftlichen Daten auf Dateisystemebene. Im geschäftlichen Bereich ist die Dateisystemverschlüsselung standardmäßig aktiv, im persönlichen Bereich kann diese manuell aktiviert werden.

Bewusstsein für Sicherheit bei Entwicklerinnen und Entwicklern schaffen

Um zusätzlichen Schutz für Daten zu gewähren, bieten iOS und Windows Phone 8 einen Verschlüsselungsmechanismus für einzelne Dateien. Dazu wird der von der Benutzerin oder vom Benutzer gewählte Code zum Lösen der Bildschirmsperre in die Ableitung der kryptografischen Schlüssel miteinbezogen. Ob und in welchen Umfang diese Mechanismen zum Einsatz kommen, ist jedoch abhängig von der Entwicklerin bzw. vom Entwickler. Die Benutzerin bzw. der Benutzer erhält keine Information, ob und wie eine Applikation Daten zusätzlich verschlüsselt.

Die Verschlüsselung von Daten am Gerät stellt jedoch nur einen Aspekt zur Sicherung mobiler Geräte dar. In einer von A-SIT veröffentlichten Studie werden weitere Sicherheitsfunktionen der Plattformen iOS, Android, Windows Phone 8 und Blackberry 10 beschrieben und die genannten Plattformen anhand der angebotenen Sicherheitsmechanismen verglichen. Die Studie ist öffentlich auf der Webseite von A-SIT zugänglich.

Weitere Informationen:

Datum der Veröffentlichung: 28.07.2014

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria