Im Zuge von behördlichen Ermittlungen kann es notwendig sein, Daten von Smartphones oder anderen mobilen Endgeräten auszulesen. Um an die Daten heranzukommen, wird oft von raffinierten Werkzeugen Gebrauch gemacht. [...]
Smartphones und Tablets haben in Privat- und Geschäftsleben längst Einzug gehalten. E-Mails und Messenger Apps werden zur Kommunikation genutzt, Dokumente über diverse Plattformen hinweg synchronisiert und Backups der Daten in die Cloudspeicher hochgeladen. Pro Gerät fallen mehrere Gigabyte interessanter Daten an, die die Aktivitäten der jeweiligen Benutzer oft lückenlos dokumentieren.
Im Zuge einer Ermittlung kann es notwendig sein, Daten von Smartphones oder anderen mobilen Endgeräten auszulesen. Im Idealfall verfügt man über die notwendigen Zugangsdaten und muss keine komplexen technischen Kunststücke vollführen, um Zugriff zu erlangen. Gerade Strafverfolgungsbehörden sind jedoch oft mit gesperrten und verschlüsselten Geräten konfrontiert. Um hier an die benötigten Daten heranzukommen, wird oft von raffinierten Werkzeugen (Hard- und Software) Gebrauch gemacht, die im Hintergrund Schwachstellen oder Fehler der Geräte ausnutzen. Die Lebensdauer dieser Werkzeuge ist in der Regel zeitlich begrenzt, da Hersteller die zugrundeliegenden Schwachstellen regelmäßig schließen. Neue Modellgenerationen stellen oft eine besondere Herausforderung da – sind diese gesperrt oder wurden auf Werkzustand zurückgesetzt, ist das Knacken dieser Geräte schwierig bis (vorerst) unmöglich.
Wie geschehen zuletzt bei einem populären Smartphone: Der Hersteller führte mit seinem neuen Update den USB Restricted Mode ein. Dieses Sicherheitsfeature aktiviert eine Stunde nach dem Sperren des Gerätes einen Betriebsmodus, welcher jegliche Kommunikation über die USB Schnittstelle mit dem Smartphone verhindert und nur noch Ladetätigkeiten zulässt. Auf diese Weise soll bestimmten Bruteforce Angriffen, denen eine Lightning Port Verbindung zugrunde liegt, ein Riegel vorgeschoben werden.
Kurze Zeit nach dem Erscheinen dieser neuen Sicherheitsfunktionalität gab es jedoch erste Meldungen, dass dieser Mechanismus überraschend einfach auszuhebeln sei – bereits das Anstecken allerorts erhältlicher Lightning Adapter (beispielsweise ein Lightning zu USB Kamera Adapter) kann schon reichen, um die Neuerung zu umgehen.
Auch mit der neuesten Version von Android wurde die Sicherheit von Backups, auf die in der Forensik gerne zugegriffen wird, erhöht. Frühere Versionen des Betriebssystems sind mit dem Sperrbildschirm-PIN des Benutzers geschützt, was jedoch nicht für die in der Cloud gelagerten Backups gilt. Hat man Zugriff auf den Google Account, hat man in weiterer Folge auch Zugriff auf die gesicherten Geräte-Daten. Doch das ändert sich mit der Einführung des proprietären Cloud Key Vault Service: Hiermit werden auch die Cloud Backups mit dem Passwort des Benutzers geschützt und gleichzeitig vom Hersteller mit einem Bruteforce Schutz versehen.
Es ist nicht absehbar, dass sich dieses Katz und Maus Spiel zwischen Exploiteuren und Herstellern in naher Zukunft ändern wird. Gefundene Lücken werden oft (mehr oder weniger schnell) in einem folgenden System Update wieder geschlossen und neue Security Features laufend implementiert. Ein besonders sicheres Betriebssystem zu haben, ist für die Hersteller zudem ein beliebtes Verkaufsargument. In diesem Zusammenhang sind ältere Smartphones bei forensischen Untersuchungen gerne gesehen – sie haben oft noch nicht geschlossene Sicherheitslücken und erprobte technische Hilfsmittel erlauben eine Analyse. Hier spielt auch die nach wie vor starke Fragmentierung von Android eine nicht unwesentliche Rolle – wobei es auch hier mit Android One wieder eine Entwicklung gibt, die dem entgegenwirken soll.
* Dr. Christian KURZ ist Senior Manager Forensic Technology Solutions bei Price Waterhouse Coopers.
Be the first to comment