Encryptie Android minder robuust dan iOS
Zowel Android als iOS maken gebruik van full disk encryption waarmee alle data op een smartphone of tablet volledig versleuteld wordt. De versleuteling van Android blijkt echter verre van waterdicht. Dat ontdekte beveiligingsonderzoeker Gal Beniamini.
De zogenaamde master key waarmee alle data te ontsleutelen is, kan op Android-apparaten op verschillende manieren achterhaald worden. Dat komt omdat deze vooral softwarematig beschermd wordt
Trust Zone vs. Secure Enclave Android-apparaten gebruiken een Trust Zone om encryptiesleutels in op te slaan. Dit is een serie beveiligingsmaatregelen in chips van onder andere Qualcomm. Een applicatie genaamd KeyMaster communiceert met de Trust Zone en regelt het beheer van de keys. Door twee softwarematige kwetsbaarheden (CVE-2015-6639 en CVE-2016-2431) te combineren, kreeg een beveiligingsonderzoeker toegang tot de Trust Zone en kon zo de master key uitlezen.
Apple’s aanpak is heel anders. De keys van een iOS-apparaten zijn gebaseerd op een hardwarematige sleutel die, zoals de naam al doet vermoeden, niet afhankelijk is van software. De key wordt per bestand hardwarematig berekend en weer versleuteld met een eigen sleutel die afhankelijk is van een hardware-identificatiecode (die tijdens de fabricage in de telefoon is is geïnjecteerd) en de PIN-code van de gebruiker.
Diagram van de beveiliging van iOS. Google zegt in een reactie tegen Ars Technica dat de kwetsbaarheden in januari en mei zijn gefikst. Echter is 37% van de Android-apparaten nog kwetsbaar omdat deze niet zijn bijgewerkt. Het is bovendien niet uit te sluiten dat er nog meer bugs misbruikt kunnen worden om de master key te achterhalen. Dan Guido, een specialist op het gebied van mobiele beveiliging, omschrijft het als volgt:
Archief
- There's always One More Thing… 2017.06.01
- De 6 irritantste Apple-meldingen en hoe je ze uit zet 2017.05.31
- Apple’s Carpool Karaoke start 8 augustus 2017.05.31
- ‘Nieuwe iPads, MacBooks én Magic Keyboard op WWDC 2017’ 2017.05.31
- Waarom de ‘iPhone 8’ anders gaat heten 2017.05.31
- Mobiel betalen in het OV loopt uit op flop 2017.05.31
- Nest Cam IQ: beter beeld, minder cloud 2017.05.31
- Apple zet serieus in op eigen 4G-chips 2017.05.30
- Essential Phone: oude bekende geeft eigenzinnig antwoord op de iPhone 2017.05.30
- Nieuwe Mac-app van maker Pixelmator op komst 2017.05.30