FBI scheitert an Pattern-Screen-Lock von Android

Die Tastatur- bzw. Bildschirmsperre von Android-Smartphones, die die Eingabe eines bestimmten Musters erfordert, ist sicher. Das ist die Erkenntnis, die die US-amerikanische Bundespolizei FBI nun gemacht hat bzw. machen musste. mehr... Google, Android, Maskottchen Bildquelle: Rich Dellinger Google, Android, Maskottchen Google, Android, Maskottchen Rich Dellinger

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Interessant. Seitdem wir im Büro Exchange haben, werden wir dazu gezwungen nen PIN zur Bildschirmentsperrung zu nutzen, wenn wir die Synchronisation von Mail, Kalender, etc. nutzen wollen.. sollte das mal an die entsprechende Abteilung weiterleiten ;)
 
@luckyiam: Windows kann eben zur zeit nur die Entsperrung per Passwort und Smartcard... über Drittanbieter Software ist es auch möglich per Fingerprint und Gesichtserkennung zu entsperren. Mit Windows 8 kommt dann das entsperr-Foto mit Gesten dazu
 
@JasonLA: Was hat das damit zu tun? :>
 
@tann: oh da hab ich mich ja total im Thema vertan^^
 
@luckyiam: Joa, ist mir hier auch aufgefallen...
 
@luckyiam: Was genau hat den die PIN EIngabe von Deinem Windows Rechner mit der Verschlüsselung von Android zu tun? Sicher das es dort keine Hintertür/ zurückstellen oder was auch immer gibt?
 
@tomsan: Nein.. ich hatte mal ne Diskussion mit unserem Exchange Menschen. Der meinte, dass ich auf meinem Android Phone auf PIN Sperre umstellen muss um Exchange auf meinem privaten Handy synchen zu dürfen. Kein Plan wieso..
 
@luckyiam: Der Exchangeserver hat eine Sicherheitsfunktion, die es ermöglich nur mobile Geräte mit PIN-Sperre auf seine Daten zugreifen zu lassen. Das macht in einer Firma auch durchaus Sinn, verlierst du dein Handy mit ExchangeSync ohne PIN kann schließlich jeder der es findet auf alle deine GeschäftsMails/Kalender/Kontakte zugreifen und Mails schreiben. Ausserdem kannst du über OWA alle deine Daten vom Handy löschen ohne es im Zugriff zu haben, auch das durchaus sinnvoll wenn man das Handy verliert.
 
@bambam84: Und wieso unterstützt es nicht diese Wipe-Technik? Wenn es doch angeblich sicher ist.. OWA sollte doch unabhängig davon machbar sein, oder? Aber guter Kommentar +1
 
@luckyiam: Ob es dass nun tut oder nicht kann ich dir jetzt so auch nicht aus dem Kopf sagen.
 
@luckyiam: Das funktioniert 100% auch mit der Wipe-Technik. Also mit dem Finger nachzeichnen. Hab ich ja auch so auf meinem HTC und synchronisiere mit unserem Exchange in der Firma. PIN muss ich da keinen eingeben. Würde aber auch funktionieren.
 
@Kugel: Das ist so nicht ganz richtig. Der Exchange Server kennt bis einschließlich 2010 keine Wipe-Technologie als Sperre. Wenn es bei dir so funktioniert, dann ist die sonst vom Exchange erzwungene Pin-Abfrage Policy einfach nicht aktiviert.
 
Da scannt also ständig jemand Gerichtsdokumente, um (über 7 Ecken) zu beweisen, dass das Pattern-Screen-Lock von Android sicher ist. Soso.
 
Wenn der Touchscreen nicht klinisch gereinigt/entfettet wurde, kann man den Lock mit theoretischen maximalen 9 Versuchen entsichern. Gabs lange Diskussionen und Ansätze und Lösungen in vielen Android Foren. Wenn Sie als mal wieder ein Problem haben und ihnen die Behörden nicht weiterhelfen können, fragen Sie lieber das A-Team.
 
@wuddih: auf meinem bildschirm sind so viele fingergratschen, da findet man vermutlich nicht mit 9 versuchen einen code raus. alleine, weil browser wie dolphin auch mit gesten arbeiten, dann hast du mehrere muster am bildschirm, die theoretisch ein mögliches pattern darstellen könnten. wenn natürlich das oberste muster was zu sehen ist das unlock pattern ist... na dann geht ist es natürlich im bereicht des machbaren.
 
@LoD14: Wurde gut diskutiert, bringt also nichts mehr weiter darüber zu reden. Fakt ist, man muss auf dem Screen bleiben und den Lock zu entsichern, das hinterlässt eindeutige Abzeichnungen. 9 Versuche sind es bei einer Pfadlänge von 6 und 2 eindeutigen Pfadteilen, egal wo. Wenn der Pfad frisch eingegeben wurde, könnte man ohne Probleme nach 5 Minuten Schulung bei Wetten Dass damit antreten.
 
@wuddih: Gerade an meinem Gerät geschaut und man kann keinen eindeutigen Pfad sehen. Wenn das Gerät nicht aktiv genutzt wird und ständig entsperrt wird um Wetter zu sehen, mag das noch zutreffen, aber bei normaler Nutzung eher unwahrscheinlich. Wobei wenn man nicht dumm ist, wird man bevor man das Gerät "freiwilig" übergibt kurz mit der hand drüber sehen und somit die Spuren ewas verwischen. Ansonsten gibt es deutlich mehr Kombinationen, da man auch Querverbindungen erstellen kann. Weiterhin wird das durch den Entsperrbildschirm verfälscht, der vor dem Pattern kommt.
 
@Arhey: Er hat die Eingangsbedingungen ja klar beschrieben, warum also drüber diskutieren :)
 
kleiner Tip: einfach mal wärend des entlocken das ladekabel einstecken..... ;)
 
@born2own: was soll dabei passieren?
 
@born2own: und was soll das bringen?
 
@GottNemesis: Bei mir erscheint dann nur die Meldung: "Wird geladen". Bei HTC Sense 3 und Cyanogen auch.
 
@2-HOT-4-TV: ja bei mir auch... sense 3.5
 
Hätte irgendwie mehr vom FBI erwartet, allerdings beruhigt mich das auch etwas
 
@Kuli: Hätte irgendwie mehr vom FBI erwartet, deshalb beunruhigt mich das etwas
 
Hab ich den "bezahlte Anzeige" Hinweis irgendwo überlesen?
 
Das sollte niemanden beruhigen, weil das genau die Absicht hinter der Meldung ist. Bei einem kleinen Zuhälter werden die nicht mit der schweren IT-Forensik ankommen, sondern die "forensischen Experten" (sic!) im Büro mal schnell ein wenig probieren lassen und dann nach Google schreien. Wenn der Zuhälter ein iranischer Staatsbürger in einem "I love NY" T-Shirt wäre, dann sähe das sicherlich ganz anders aus. Apropos FBI - was ist denn eigentlich aus dem McCormick-Fall geworden, bei dem das FBI um Mithilfe der Öffentlichkeit gebeten hat, um zwei wirre Notizzettel zu entziffern? Ich kann keine Auflösung für die Geschichte finden.
 
@User27: gibt noch keine Lösung
 
@Yepyep: dann haben sie meine Email verschlampt. ;))
 
Hm, das FBI sagt mir also eine in den USA entworfene Technik zur Sicherheit sei sicher und Sie hätten es nicht geschafft das zu Knacken.
Und dann wird das ganze auch noch im Web gemeldet und verteilt.

Eigentlich sollte jetzt jeder der die Technik verwendet sich schnellstens nach Alternativen umsehen.......
 
@LivingLegend: Android ist Open Source, eine Hintertür wäre garantiert schon aufgefallen...Paranoia forever? ;-)
 
@passtschon: Android ist Opensource, der Rest aber nicht, Maps, Market, Latitude .... alles Closed Source.
 
@iPeople: Der Lockscreen ist aber Teil von OpenSource-Android.
Vermutlich wird demnächst ein Patent auftauchen und dann muss Google den Screnn raus patchen.
 
@floerido: Und das bedeutet, dass das herbeifantasierte Hintertürchen nicht in der MarketApp sein kann, um so den Sperrbildschirm zu umgehen?
 
@iPeople: Nein, darauf hat keine andere Anwendung Zugriff. Hätte sie das, wäre die Schnittstelle sichtbar.
 
@passtschon: Hat keinen Zugriff oder kann keinen zugriff haben? ;)
 
@Mein lieber passtschon:

Es gibt dutzende von Hintertüren in JEDER ART von Software. Auch in den freien Varianten. Hat man gerade wieder gesehen auf der Hackerkonferenz. Alle Browser haben nichtmal 1 Tag gebraucht bis Sie gehackt waren. Alles Zero Day exploits. Und Firefox und Chromium sind auch frei! Das ändert nichts an der Tatsache. Und wenn sich 1000 Leute Code anschauen, wird es doch noch jemanden geben, der entsprechende Lücken findet, und das geht bei OpenSource sogar schneller, weil ich ja den Quellcode schon habe, ich kann allerdings auch die Fehler schneller beseitigen, das ist wohl richtig. Es liegt ja auch an der Verzahnung. Jene Bibliothek und Methode wird hier und dort benötigt. Oft wissen die Autoren garnicht, wo ihre Bibliotheken überhaupt eingesetzt werden und wie. Dadurch entstehen neue Fehler. Aus Zeitmangel wird nicht jeder Fehler behandelt, teilweise denkt man auch garnicht an die Fehler, weil sie aus anderen Quellen stammen können usw usw usw. Das hat garnichts mit Paranoia zu tun. dem ist einfach so. Es gibt einfach kein SICHERES System. Je eher man die Mär vom sicheren System nicht mehr glaubt, je besser.

im übrigen will ich auch nur ironischerweise darauf eingehen, das WENN DIR EIN SICHERHEITSDIENST WIE DAS FBI SAGT: ES IST SICHER, es mit 99.99% wahrscheinlichkeit NICHT sicher ist. Die leben nämlich davon.
Die haben garkein Interesse, dass die Allgemeinheit SICHERE Software erhält. Würde deren Arbeit nämlich gewaltig erschweren.
im übrigen ist dies ja auch nur ein kleiner Fisch, um den es ging, wenn es hier wieder um Terrorismusbekämpfung geht oder andere Dinge, werden die mit Sicherheit nicht direkt wegen einem "Zuhälter" alle Karten auf Ihren Tisch legen.

Just my 2 Cents!
 
Da kann doch was nicht stimmen. Wenn ich auf ein handy mit pattern lock zugreifen will installier ich doch einfach nen custom kernel und schon hab ich zugriff auf das gesamte system ohne android auch nur booten zu müssen (clockworkmod recovery)
 
@ANSYSiC: Wenn das System aber zusätzlich noch verschlüsselt ist, dann sieht's immer noch schlecht aus.
 
@doubledown: wie merk ich denn, ob das System verschlüsselt ist? hab selber ein SGS2
 
@ANSYSiC: Geht nur wenn Android 4.0.3 drauf hast, sonst net.
 
@ANSYSiC: Und wie kriegst Du CWM aufs Handy ohne das vorhandene originale Flash-Image zu zerstören?
 
@ANSYSiC: clockworkmod recovery != custom kernel, aber bin mir gerade nicht sicher ob wenn ich mein handy gesperrt an den pc anschließe ob dann das usb debugging (sofern aktiviert) erkannt wird, dann ist das flashen/extrahieren der partitionen eigentlich kein problem mehr
 
Was ich nicht verstehe: warum haben die sich nicht an Google gewendet und sich Gmail-Adresse samt Passwort geben lassen?
 
@King_Rollo: "deren Herausgabe das FBI nun von Google angefordert hat" -> machen sie doch, steht sogar im Text :)
 
@bob_builder: Ja, das hatte ich auch gelesen. Nur hatte ich die ganze Zeit den Text so interpretiert, dass das FBI nicht an die Daten rangekommen ist. Jetzt im Nachhinein muss ich wohl davon ausgehen, dass das FBI einfach Android-Sicherheitsmuster nicht knacken konnte, dafür aber trotzdem an die Daten ran kam (über Google).
 
@King_Rollo: wenn das passwort verschlüsselt ist, was ich doch stark hoffe, dann hat auch google keine chance.
 
@Lindheimer: keine angst, wird einfach zurückgesetzt :)
 
Wenn demnächst ein 15-jähriger oder so den Screenlock knackt, sähe das FBI aber ziemlich dämlich auch. Hoffen wir mal dass das passiert :D
 
Da denken die meisten User hier nicht einmal vor ihre Nase! Bei Android kann man 9 Versuche starten, danach sperrt sich das Handy bzw. die Software und man kann es für den normalen User nur noch über Google entsperren. Das heisst aber überhaupt nicht, dass das FBI es nicht auch Hacken könnte. Sie gingen einfach nur den einfacheren Weg, der durch ihre Gesetze ermöglicht wird und haben die Daten bei Google angefordert. Wäre unter den Umständen/Möglichkeiten auch schön dumm vom FBI hier Informatiker anzusetzen, wenn es sehr viel einfacher und billiger geht. Manchmal muss man nur den gesunden Menschenverstand einsetzen um den Sinn einer Nachricht zu erkennen b zw. den Wahrheitsgehalt.
 
wenn ich von einem gerät daten haben will, was mir nicht gehört, benutze ich ganz bestimmt den bildschirm des gerätes..... is klar...
 
Weshalb etwas knacken wo man den Schlüssel bereits hat bzw. man ihn sich bequem besorgen kann? Im Übrigen ist die Nachricht, das FBI könne etwas nicht knacken ein klares Indiz dafür, dass das Gegenteil der Fall ist.
 
Naja, es mag vom technischen Aspekt her sicher sein... aber ich kenne mittlerweile den Zugang zu den beiden Android-Phones meiner Freunde... Dieser vordefinierte Weg ist sehr einfach zu verhalten wenn man die Chance hat jemanden auf den Bildschirm zu schauen.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles