Objavljeno: 3.7.2016 05:00

Šifriranje v Androidu ima ogromno luknjo

Tako Googlov Android kot Applov iOS podpirata šifriranje podatkov na telefonu, s čimer so ti teoriji zaščiteni pred nepooblaščenimi očmi, četudi telefon pogrešimo. Toda medtem ko je zaščita v iOS tako močna, da se je z njo več mesecev ukvarjal FBI in uspel priti le do polrešitve, ki deluje na konkretni verziji iPhone 5C, je šifriranje v Androidu precej bolj luknjičavo.

Androidni telefoni, ki jih poganjajo Qualcommovi procesorji, namreč šifrirne ključe shranjujejo na normalnem področju nosilca podatkov, zaradi česar so programsko dosegljivi. Izraelski strokovnjaki so pokazali, kako lahko z izrabo ranljivosti v kodi Androida pridobimo dostop do šifrirnih ključev. Ko imamo enkrat ta ključa, je situacija izgubljena – dostop do podatkov je trivialen. Google in Qualcomm sta hitro sporočila, da sta izrabljeni luknji že zakrpani, a problem je arhitekturen.

Applov iOS namreč šifrirne ključe povezuje z enolično identifikacijsko številko naprave (UID), do katere programskega dostopa ni. Te številke ne moremo prebrati z naprave, ker je zapisana v nedostopen, kriptografsko varnem čipu, zato kopiranje podatkov z naprave ne omogoča odklepanja na superračunalniku (še enkrat, lomljenje šifrirnega algoritma je neizvedljivo, vedno gre za lomljenje ključev). Zato je edini način za dostop do podatkov odklep na sami napravi, kjer pa je Apple dodal omejitev števila poizkusov in samodejni izbris po desetih neuspešnih vnosih gesla.

Pri Androidu je situacija popolnoma drugačna. Vsak Android ima tudi enolično številko SHK, ki pa se ne uporablja za šifriranje, ker je shranjena v pomnilniku in ima do nje dostop vsaka aplikacija. Zato se uporablja ključ, ki je izveden iz gesla, in ta ključ je shranjen v TrustZone. To je programsko dostopen del naprave.

Pri tem Googlovo in Qualcommovo zatrjevanje, da so luknjo že odpravili, kaj malo zaleže. Android je izrazito fragmentiran sistem, kjer Google nima nadzora nad programsko opremo na telefonu, temveč proizvajalci. Ti si vzamejo mesece, preden novo verzijo Androida ali popravke prilagodijo za konkreten model, pa še tega ne počno v nedogled, temveč kmalu nehajo. Rezultat je ogromno različnih verzij Androida v uporabi in na milijone telefonov, ki nikoli ne bodo dobili najnovejših popravkov, ker jih proizvajalci ne podpirajo več, pa čeprav je Google te luknje v Androidu zakrpal. Ta očitek Androidu pogosto ponavljamo, ker je v izrazitem nasprotju z Applom, ki ima popoln nadzor ne le nad iOS, temveč celo nad aplikacijami.

Šifriranje telefona je sicer še vedno priporočljivo, saj omenjena ranljivost zadeva okrog tretjino Androidnih telefonov v uporabi. Vseeno pa se velja zavedati, da je implementacija šifriranja v Androidu precej precej šibkejša kot v iOS.

Bits, Please!

Več novic

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentarji

bednik | 3.7.2016 | 13:00

mislim, da bi veljalo omeniti, da je šifriranje Androidne naprave še vedno varno oz. nezlomljivo, če zanj uporabimo močno geslo, kar je sicer dokaj nepraktično ali pa zahteva korenski dostop. luknja namreč ni v samem šifriranju, temveč v njegovi okrepitvi.

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • Redka zmaga malega rudarja kriptovalut

    V času, ko rudarjenje bitcoina obvladujejo velika podjetja s specializirano opremo in ogromnimi viri, je neodvisnemu solo rudarju uspel izjemen podvig. 

    Objavljeno: 27.7.2025 13:00
  • Šibko geslo in hekerski vdor pogubila 158 let staro podjetje

    Britansko podjetje KNP iz Northamptonshira, ki se je ukvarjalo s prevozi, je po 158 letih obratovanja zaprlo vrata, zaradi česar je brez dela ostalo 700 ljudi. Razlog ni slabo poslovanje, težke tržne razmere, izgube ali celo poneverbe, temveč precej bolj banalen. Podjetje je opustošil hekerski napad, v katerem so napadalci odnesli podatke o vseh strankah.

    Objavljeno: 23.7.2025 05:00
  • Internet umira, krivi smo sami

    Spletne strani in celotni internet se zanašajo na nepisano pravilo, ki se je v zadnjem letu začelo krhati in grozi, da bo pokopalo internet, kot ga poznamo. Zaradi agentov in modelov umetne inteligence čedalje manj klikamo na spletne strani, zaradi česar imajo te čedalje več težav s financiranjem. Zdi sem, da jim škoduje tudi Google, ki je doslej benevolentno zagotavljal promet s svojim iskalnikom.

    Objavljeno: 31.7.2025 05:00
  • Tehnologija je orodje za množično nadzorovanje

    Ko je minuli teden kamera na koncertu skupine Coldplay v Bostonu prikazala par, ki objet posluša Chrisa Martina, bi bil lahko to le še eden izmed množice povsem običajnih in dolgočasni prizor. A ker se je ženska na posnetku obrnila proč in obraz zakopal v roke, moški pa se je sklonil pod kader, je posnetek vzbudil veliko pozornosti. Pevec Chris Martin ga je na odru komentiral z besedami, da sta bodisi zelo sramežljiva bodisi razmerje skrivata – in ostalo je bilo zgodovina.

    Objavljeno: 21.7.2025 05:00
  • ChatGPT-5 bo na voljo avgusta

    Sam Altman, izvršni direktor OpenAI, je potrdil, da bo model GPT-5 izšel že v začetku avgusta. 

    Objavljeno: 25.7.2025 09:00
  • ChatGPT je slab v šahu

    Najboljši šahist sveta Magnus Carlsen je v spletnem dvoboju premagal umetno inteligenco ChatGPT v vsega 53-ih potezah, pri čemer sam ni izgubil niti ene same figure. 

    Objavljeno: 21.7.2025 09:00
 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji