Mobile Plattformen im Security-Check

Eingebauter Schutz ist wackelig

Unternehmen, die Mobilgeräte einsetzen, legen Wert darauf, dass die bereits eingebauten Schutzfunktionen ihren Zweck auch erfüllen. In iOS sind Features wie die Dateisystemverschlüsselung und die sichere Ablage von Zertifikaten und Schlüsseln in der geschützten Keychain nur dann gewährleistet, wenn die entsprechenden Devices mit einem PIN-Code versehen sind (nicht zu verwechseln mit dem SIM-PIN, welcher zum Einbuchen der Geräte in die Mobilfunknetze benötigt wird).

Die Robustheit de Sicherheitsfunktionen ist demnach auch stark von der Komplexität des gewählten PIN-Codes abhängig. Durch die bereits erwähnte Schwachstelle innerhalb des Boot-ROMs bei allen iOS-Geräten, die vor dem iPhone 4S erschienen sind, können die vierstelligen PIN-Codes - wie sie etwa bei aktiviertem PIN-Schutz vorliegen - in durchschnittlich 20 Minuten geknackt werden. Will ein Anwender eine komplexere PIN setzen, so muss er explizit eine Zusatzoption in den Einstellungen seines Gerätes aktivieren.

Was Android angeht, lässt sich in diesem Punkt keine allgemeinverbindliche Aussage treffen - dafür sind die Unterschiede zwischen den verfügbaren Geräten zu groß. So gibt es welche, die bereits hardwareseitig über ein Kryptomodul verfügen und dadurch - ähnlich wie bei Apple - eine robuste Verschlüsslung sensibler Daten ermöglichen, wenn ein komplexer PIN-Code gesetzt wurde. Beispielhaft hierfür sind die Referenzgeräte von Google selbst.

Die meisten erhältlichen Android-Devices können solch ein Kryptomodul jedoch noch nicht vorweisen und legen Daten in unverschlüsselter Form ab. Der PIN-Code schützt hier nur gegen unmittelbare Zugriffe. Durch die offengelegte Debug-Schnittstelle lassen sich die Daten auch ohne den korrekten PIN-Code auslesen.