w33werner schrieb:
Ich finde das eine Katastrophe
Viele speichern ihr Amazon, eBay, Facebook Passwort im Handy wenn sich das auch wieder herstellen lässt, sind Tür und Tor geöffnet
Wieso wird überhaupt so eine Funktion eingebaut wenn sie nicht richtig funktioniert?
Und kommt mir jetzt nicht mit der normale User..
Wenn es so eine Funktion gibt muss die zuverlässig funktionieren. Sonst sollte es sie auch nicht geben. Punkt.
Wie machst du das bei einem PC/Laptop/Festplatte /.../ SSD/Flash!!!! die du bzw. Otto-Normal verkauft.
Otto-Normal löscht seine Dokumente/Bilder... vielleicht formatiert er noch, aber das wars dann auch schon meistens, obwohl bekannt ist, dass das bei Weiten nicht ausreichend ist.
Auf jeden Fall: KATASTROPHE!!!!! Sollte unbedingt mal bei Stern TV thematisiert werden
. Wie so wird überhaupt so ein löschen, formatieren eingebaut wenn es dann doch nicht richtig funktioniert?
Du speicherst deine Passwörter im Klartext auf deinem Smartphone ab?
Das halte ich so oder so, für keine gute Idee.
Dasselbe gilt übrigens auch für Nacktbilder und selbst gedrehte Schmuddel Filmchen. Nicht dass die dann auch im Netz landen, wie schnell das gehen kann, weiß Tante Trude mittlerweile auch.
Vorgehensweise - Kurzfassung:
- Möglichst langes und komplexes Passwort für den Sperrbildschirm einrichten. (1234 sollte nicht gewählt werden)
- Gerät mit dem Ladegerät Verbinden (verschlüsseln kann mehr als eine Stunde dauern)
- Einstellungen -> Sicherheit -> Telefon verschlüsseln auswählen
- Smartphone in den Werkszustand zurücksetzen (das wars)
Mögliche Probleme:
1. Grundlegende Problematik bei allen Halbleiterlaufwerken:
http://de.wikipedia.org/wiki/Solid-State-Drive#Sicheres_L.C3.B6schen
dann->
Wer sein Gerät vorher intensiv genutzt hat (Speicher) bei welchen dann Over Provisioning Algorithmen des Flashsspeichers/Controller dazu geführt haben, dass einzelne Datenfragmente unverschlüsselt zurückbleiben, weil er erst kurz vor dem Factory-Reset die Verschlüsselung aktiviert hat, bei dem könnte man, wenn man herausfindet nach welchem Muster das der "Flashspeicher" macht, im Nachhinein versuchen die Datenfragmente wieder zusammen zusetzen und auszulesen. Möglich, aber nicht wirklich praktikabel.
2. Wer ein zu kurzes Passwort (1234 ….) für die Verschlüsselung einsetzt, läuft Gefahr, dass dieses durch eine Bruteforce Attacke geknackt wird. Dies gilt vor allem für Versionen vor Android 4.4 bei denen noch Android FDE 1.0 zum Einsatz kam.
Deshalb: (aller) spätestens vor dem Verkauf ein ausreichend langes/komplexes Passwort einsetzen.
Auf Wunsch können die oben genannten Schritte auch mehrmals wiederholt werden. (So ähnlich wie bei Festplatten -"tools", bei den dann auch ~17,99mal mit unterschiedlichen Bitmuster überschrieben wird)
Dazu das Smartphone mit Videoaufnahme(n) füllen (verkehrt auf den Tischlegen und auf Aufnahme drücken)
Übrigens beim Überfliegen der Studie.
Zitat: "FDE was introduced in ICS (v4.0.x) ...." Falsch! FDE wurde mit 3.0 Honeycomb eingeführt.
--------------------------------------------------
Raucherdackel! schrieb:
....
Deshalb merket auf, liebe Leut: Messer, Gabel, Google, Licht, sind für kleine Kinder nicht!
Stimmt: Kinder sollten tatsächlich andere Plattformen verwenden. Welche Kinder-Plattform würdest du den empfehlen?
---------------------------------------------------
Vorgehensweise - Ausführlicher:
....
Es ist recht einfach, Ihre Daten unter Android sicher vor Dritten zu schützen. Sie können dazu den Speicher verschlüsseln und ihn bis zum Rand mit Zufallsdaten füllen, bevor Sie das Gerät endgültig zurücksetzen. Seit Android 3.x lässt sich der Speicherbereich, in dem sensible Daten liegen, mit Bordmitteln verschlüsseln. Das System verschlüsselt Ihre Daten dabei mit Ihrem Lockscreen-Passwort, das Sie zunächst im Menü unter "Sicherheit | Display-Sperre" festlegen. Je länger PIN oder Passwort sind, desto sicherer ist die folgende Datenverschlüsselung.
....
Wählen Sie dann im Menü den Punkt "Sicherheit | Telefon verschlüsseln | ". Um die Verschlüsselung zu starten, muss Ihr Handy aufgeladen und mit dem Stromnetz verbunden sein. Die Aktion kann je nach Speichergröße des Geräts bis zu zwei Stunden dauern. Achtung: Eine im Gerät eingesetzte microSD-Karte wird dabei nicht mitverschlüsselt. Diese sollten Sie vor dem Verkauf des alten Handys oder Tablets entfernen.
....
Jetzt haben Sie die wichtigsten Daten mit Ihrer PIN verschlüsselt und für Dritte unlesbar gemacht. Um den Schlüssel zu vernichten und den Speicherplatz auf dem Handy freizugeben, setzen Sie Ihr Smartphone in den Werkszustand zurück.
....
Zusätzlich den Speicher komplett überschreiben
Nach dem Neustart des Handys sollten Sie für maximalen Schutz noch den kompletten Speicherbereich mit Zufallsdaten überschreiben und das Gerät ein zweites Mal zurücksetzen. Dafür richten Sie Ihr Handy ohne Angabe irgendwelcher WLAN- oder Konto-Daten ein. Schließen Sie das Gerät dann ans Stromnetz an und legen es so auf den Tisch, dass die Kameralinse auf die Tischplatte zeigt. Anschließend lassen Sie die Videokamera so lange laufen, bis sie den Speicher bis aufs letzte Bit überschrieben hat. Eventuell müssen Sie die Kamera dafür mehrfach starten, bei unserem Test mit dem Nexus 4 stoppte die Kamera nach rund 22 Minuten. Wenn Sie danach das Gerät wieder auf den Werkszustand zurücksetzen, sind die letzten Datenreste sicher gelöscht.
--------------------------------------------------------------------------
Wilhelm14 schrieb:
Wie konnte auf den internen Speicher zugegriffen werden, also wie sah die Durchführung aus. Wurde der Speicher ausgelötet und an einem anderen Rechner angeschlossen und dort ausgelesen?
Welches Tool soll das denn sein?
Für iOS geht das wie folgt:
http://www.wondershare.de/data-recovery/iphone-data-recovery.html
Im Idealfall hast du root Zugriff. Dann kopierst (raw) du dir die gesamte "Data Partition".
Dann machst du dich auf die Suche nach dem „crypto footer“, in fstab nach encryptable suchen, somit solltest du dann auch den „Ort“ (Partition) für den „crypto footer“ finden, den du dann mit dd kopierst. Dann besorgst du dir so etwas
https://github.com/santoku/Santoku-..._bruteforce_stdcrypto/bruteforce_stdcrypto.py und legst los. Oder noch besser
https://santoku-linux.com/ Schneller zum Ziel kommst du aber, bei geeigneter Hardware, wenn du beispielsweise
https://hashcat.net/oclhashcat/ verwendest. Wer vielleicht selbst schon mal einen WPA/WPA handshake (cap) aufgezeichnet hat (
https://www.kali.org/), weiß, wie schnell ein kurzes einfaches Passwort …
und wie lange es bei einem ausreichend langem/komplexen Passwort dauern würde.
Dies gilt aber nur bis Android 4.3. Danach wird es immer aufwändiger/schwieriger (beispielsweise ist man von PBKDF2 key zu scrypt:
https://www.tarsnap.com/scrypt.html : 20000 times greater than a similar attack against PBKDF2). Ab Android 5 bzw. Android FDE 1.3 sowieso. => Was sich da geändert hat kann man hier nachlesen:
http://source.android.com/devices/tech/security/encryption/index.html
Nicht ohne Grund haben sich diese Forscher auf ältere Smartphones beschränkt