Sikkerhedshul: Nulstilling af Android-telefoner sletter ikke al indholdet

Illustration: Android Logo
Det er lykkedes forskere at få adgang til blandt andet Gmail-konti på tidligere ejere af flere Android-baserede smartphones, selvom telefonerne er blevet gendannet til fabriksindstillingerne.

Hvis man gerne vil sælge sin Android-telefon videre, så er det normalt, at man benytter sig af den indbyggede funktion til at gendanne telefonen til fabriksindstillingerne. Funktionen skulle efter sigende slette al indholdet på telefonen, så den sikkert kan gives videre uden at kompromittere den tidligere ejers indhold.

Det viser sig dog ikke at være tilfældet, har nogle forskere ved University of Cambridge påvist ifølge det norske it-medie Digi.no.

Forskerne har gendannet i alt 21 forskellige Android-baserede smartphones fra fem forskellige leverandører til fabriksindstillingerne. Mobilerne havde Android i versionerne fra 2.3 til 4.3 Jelly Bean, der blev lanceret i 2013. Der er således et par år frem til den seneste version 5.1 Lollipop, som ikke er omfattet af forskernes undersøgelse.

På især ældre enheder viser gendannelsesfunktionen sig slet ikke at være tilstrækkelig ifølge forskerne. Også tredjeparts-apps, som ellers lover at kunne slette indholdet på telefonerne, kommer til kort.

»Det er på ingen måde gode nyheder. Vi var i stand til at genfinde Googles mastercookie på størstedelen af telefonerne, hvilket betyder, at vi kunne have logget ind på den tidligere ejers Gmail-konti,« skriver professor i it-sikkerhed Ross Andersen i et blogindlæg ifølge Digi.no.

En af årsagerne er, at der er en manglende understøttelse af sikker sletning i Android ifølge forskernes rapport. Også producenternes enhedsdrivere får en del af skylden.

Samtidig er det også vanskeligt at slette data fuldstændig fra enheder med flashbaseret hukommelse som smartphones ifølge forskerne. Udfordringen består i, at flash-hukommelsen ofte har mere kapacitet end det, der vises af styresystemet, og disse resterende hukommelsesblokke bliver først taget i brug, når andre bliver slidt ned eller går i stykker med tiden.

Selv hvis man krypterer indholdet af telefonernes hukommelse, vil man ikke kunne vide sig sig ifølge forskerne. En mislykket gendannelse af telefonen efterlader nemlig stadig nok data til, at det er muligt at genoprette krypteringsnøglerne, skriver de.

Det er kun leverandørerne af telefonerne, der har mulighed for at forbedre sikkerheden ifølge forskerne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Niklas Pedersen

Selv hvis man krypterer indholdet af telefonernes hukommelse, vil man ikke kunne vide sig sig ifølge forskerne. En mislykket gendannelse af telefonen efterlader nemlig stadig nok data til, at det er muligt at genoprette krypteringsnøglerne, skriver de.

Tilgiv mig min dumhed, men hvis man kan grave krypterings nøglerne frem fra en "nulstillet" enhed, så kan man vel også gøre det på en enhed, der ikke er blevet nulstillet og så er krypteringen jo helt ligegyldig i første omgang.

Er jeg forkert på den, eller er det noget vrøvl det der står i artiklen?

  • 4
  • 0
Henrik Madsen

Så på youtube at nogle hackere havde fundet ud af at de kunne gemme deres malware i de her sektorer som ikke er i brug.

De gemte deres malware og så markerede de sektorerne som dårlige og så kunne styresystemet på telefonen slet ikke se det.

  • 0
  • 1
Bent Jensen

Vi har set hvordan de behandlet den bærbare, hvor der var data fra frihedshelten Edward Snowden læk. Hvis man vil helt af med data, skal man DESTRUERE den. Meget af denne mangel på sikkerhed kommer sikkert fra at Regeringer og tjenester også gerne vil kunne "være med", så de bevist har prøvet at ødelægge sikkerheden i telefonen. Hvis man sælger sin normale telefon, uden koder til at starte en A-krig, og en anden normal bruger, starter med at installere sin profil, så er det intet problem, da data vil være gemt fra denne, og det nye vil overskrive det gamle. Hvis man stjæler en SSD hardisk. og loder IC ud, så kan man også genskabe data, som mange nok mente var væk. Intet nyt under solen.

Sådan skal det gøres hvis i ikke vil have data ud, i kan nok ikke sælge den på den DBA bagefter.

http://www.theguardian.com/uk-news/2014/jan/31/footage-released-guardian...

  • 0
  • 1
Log ind eller Opret konto for at kommentere