‘99,7% van Android-toestellen bevat nutteloze encryptie’

Apple Raymon Mens 28 nov 2016
Leestijd: 2 minuten

Als het op versleuteling van smartphones en tablets aankomt, kan Android van iOS leren. Volgens cryptograaf Matthew Green van de Johns Hopkins University is Google’s poging om versleuteling van het bestands­systeem te implementeren hooguit halfbakken.

In een analyse schrijft de professor dat Android aanvankelijk nutteloze encryptie implementeerde en pas dit jaar met Android 7.0 in de buurt komt van wat Apple al sinds iOS 4 uit 2010 voor elkaar heeft.

Nutteloze encryptie

Het doel van een versleuteld bestandssysteem is de bestanden op de telefoon ontoegankelijk maken voor iedereen die de toegangscode niet heeft. Android bevatte van versie 4.4 tot 6.0 echter alleen full disk encryption wat wil zeggen dat de bestanden alleen versleuteld worden wanneer het toestel volledig uitgeschakeld wordt. Eenmaal ingeschakeld en éénmaal de toegangscode ingevuld, blijven bestanden ontgrendeld, zelfs wanneer de telefoon vergrendeld is. Omdat smartphones bijna nooit uitgeschakeld worden, is dit praktisch nutteloos, concludeert Green.

iOS bevat sinds versie 4.0 uit 2010 al file based encryption waarbij bestanden individueel versleuteld kunnen worden en de sleutel om toegang tot de bestanden te krijgen uit het werkgeheugen wordt gehaald bij het vergrendelen van de iPhone of iPad. Pas bij het invoeren van de toegangscode, die als deel van de encryptiesleutel dient, worden bestanden weer ontgrendeld.

Verbetering in Android 7.0

Google heeft in de meest recente Android-versie 7.0 ook file based encryption ingeschakeld, maar data in apps wordt nog steeds niet zo goed beschermd als op iOS. Dit komt omdat Android de sleutel die nodig is om data in apps te raadplegen bij het locken van de smartphone nog steeds in het werkgeheugen laat staan, waardoor deze -in theorie- te stelen is.

iOS geeft ontwikkelaars zelf de keuze tussen: sleutel bij locken vernietigen (full protection, het veiligst), in geheugen laten staan tot een reboot of geen sleutel vereisen voor het schrijven van nieuwe bestanden, dat wordt bijvoorbeeld gebruikt bij het maken van een foto vanaf het lock screen.

De cryptograaf concludeert dat Android nooit zo veilig zal worden als iOS, omdat bij het implementeren van verplichte full protection een boel apps stoppen met werken. Natuurlijk kan Google net als Apple de keuze aan de ontwikkelaar laten, maar apps moeten dan bijgewerkt worden om de full protection te implementeren, dat laat oude apps onveilig.

Momenteel draait 99,7% van de Android-apparaten op een versie ouder dan Android 7 Nougat. De complete diepgravende analyse van Matthew Hopkins is het lezen waard.

Foutje gezien? Mail ons. Wij zijn je dankbaar.

Het beste wat tech en culture te bieden heeft 🚀

De laatste ontwikkelingen iedere vrijdag in je mailbox? WANT houdt je op de hoogte!

Onderwerpen