Forensische onderzoekers hebben op beveiligingsconferentie Defcon gepresenteerd hoe ze de gegevensversleuteling op veel Android-smartphones weten te kraken. Gegevens van gebruikers zijn dan zo toegankelijk. Het versleutelen van data op een Android-smartphone, of -tablet, biedt in de praktijk dus weinig bescherming wanneer het apparaat in verkeerde handen valt.

Brute-force bruikbaar

De data-encryptie van het onderliggende open source-besturingssysteem Linux is niet de zwakke plek. Die schuilt namelijk in het feit dat Android voor de gegevenscodering hetzelfde wachtwoord gebruikt als dat wat het toestel ontgrendelt. En dat laatste is volgens techblog AllThingsD in de regel een korte pin-code, een gemakkelijk te onthouden wachtwoord of een eenvoudig touch-patroon.

Een zogeheten brute-force aanval op de gebruikte sleutel voor de encryptie is dus goed bruikbaar, stelt onderzoeksdirecteur Thomas Cannon van het Amerikaanse bedrijf Viaforensics. "De encryptie is goed, maar je kunt het brute-forcen." Hij heeft deze zwakke plek in Android getoond op Defcon, dat afgelopen week plaatsvond in Las Vegas.

Oplossing

De hacker schetst niet alleen het probleem, maar draagt ook een oplossing aan. De makkelijkste manier om deze zwakke plek te fixen, is het in Android opnemen van twee wachtwoorden. Een complex en dus sterk wachtwoord voor het ontsleutelen van de encryptie wanneer een toestel boot, en een makkelijkere wachtwoord voor het ontgrendelen. "Je boot je toestel maar eens in de zoveel tijd op", licht Cannon het gebruiksgemak van zijn suggestie toe.