image

Expert: schermvergrendeling telefoon zal nooit waterdicht zijn

zaterdag 19 september 2015, 06:31 door Redactie, 8 reacties

Deze week werd bekend dat een lek in Android 5.x het mogelijk maakt om de schermvergrendeling te omzeilen, maar volgens een ontwikkelaar van de Plasma Phone zullen dit soort problemen altijd aanwezig zijn en kan schermvergrendeling geen waterdichte bescherming tegen een fysieke aanvaller bieden.

Het Android-lek is inmiddels gepatcht door Google, maar de update is nog niet voor alle verschillende modellen en fabrikanten verschenen. In tegenstelling tot een schermvergrendeling op de desktop gelden er voor een telefoon verschillende regels. Zo moet de telefoon nog steeds inkomende gesprekken kunnen accepteren, ook als het scherm vergrendeld is. Daarnaast moet er interactie met notificaties, bijvoorbeeld een alarmklok, mogelijk zijn. Ook moet het mogelijk zijn om op een vergrendeld toestel een alarmnummer te bellen.

"Deze uitzonderingen conflicteren met de vereisten voor ons vergrendelscherm op de desktop. Namelijk het blokkeren van invoerapparaten zodat een aanvaller niet met de actieve sessie kan communiceren", zegt ontwikkelaar Martin Grasslin. De vereisten stellen dat het bij een vergrendelde telefoon nog steeds mogelijk moet zijn om met een draaiende sessie te communiceren en ook worden invoerapparaten, zoals het toetsenbord, niet geblokkeerd.

Grasslin heeft de afgelopen maanden veel nagedacht over hoe deze eisen zijn te combineren zonder op veiligheid in te leveren en heeft nog geen oplossing gevonden. "Het enige dat ik zie is dat als we applicaties, zoals de telefoon-app, de schermvergrendeling laten omzeilen, we in werkelijkheid een gat aan de architectuur toevoegen en als er een gat is kan je daardoor binnendringen. Er zal dan altijd een manier zijn om de beveiliging te omzeilen", zo merkt hij op.

Doel schermvergrendeling

Volgens Grasslin moet er dan ook worden gekeken naar de bedoeling van de schermvergrendeling. Op de desktopcomputer is dat eenvoudig, namelijk dat iemand met een muis of keyboard geen toegang tot de actieve, vergrendelde sessie krijgt. Voor een telefoon is dit anders, zeker als een aanvaller fysieke toegang heeft. "Als iemand voldoende tijd heeft, is het onwaarschijnlijk dat de aanvaller buiten kan worden gehouden en de schermvergrendeling is waarschijnlijk niet de zwakste schakel in de keten."

Het gaat mogelijk dan ook niet om het blokkeren van invoerapparaten, maar dat mensen de inhoud van de telefoon tijdens een onbewaakt moment niet kunnen bekijken. In dat geval maakt het nu onthulde Android-lek ook niet zoveel uit, aangezien die de nodige tijd in beslag neemt om uit te voeren. "De schermvergrendeling voorkomt toegang door onwetende mensen en ook door mensen die er slechts even toegang toe hebben. Het is alleen een probleem in situaties waar het toch niet veel uitmaakt, namelijk als je het toestel al fysiek in je bezit hebt", aldus Grasslin.

Reacties (8)
19-09-2015, 08:32 door Erik van Straten
Uit http://blog.martin-graesslin.com/blog/2015/09/lock-screen-security-of-phones/: The lock screen prevents access for uneducated people and also for those having just a few moments of unattended access. It only breaks in situation where it might not matter: when you already physically own it.
De vertaling van de tekst "where it might not matter" ("waar het toch niet veel uitmaakt") is onjuist, maar met geen van beide ben ik het eens: de essentie van een "lock screen" is het voorkomen dat onbevoegden toegang krijgen (lezen, als ik de smartphone terugkrijg ook wijzigen en wissen) tot vertrouwelijke informatie.

M.a.w. die vertouwelijke informatie moet versleuteld zijn (waarbij bijv. HMAC's de integriteit kunnen waarborgen) en de sleutel mag pas vrijkomen nadat het juiste wachtwoord is ingevoerd. Als een crashende "lock screen app" toegang geeft tot die vertrouwelijke gegevens is er iets fundamenteel fout, een design error dus.

Uit http://blog.martin-graesslin.com/blog/2015/09/lock-screen-security-of-phones/: The exploit is a complicated process needing quite some time.
Lock screen op mijn Samsung Note 2 met Android 4.4.2 crasht ook als ik een erg lang wachtwoord invoer. Ik heb dat nu 2x geprobeerd, 1x zag ik even de "desktop" (waarna lock screen weer startte) en de 2e keer hing de app waardoor ik moest rebooten. Geen lengte-check op een invoerveld is al een blunder, op een veld met login credentials vind ik dit onvergeeflijk.

Door een andere security bug, namelijk dat het clipboard (met multiple entries), ook tijdens lock screen beschikbaar is (zelfs door een reboot zijn inhoud niet verliest), kan een lange regel tekst aanwezig zijn waardoor je snel aan de limiet komt. Hoeveel tekens er nodig zijn weet ik nog niet, maar ik had toevallig een wat langere URL in het clipboard en had in enkele minuten copy-pasten een crash.

Ik vrees dat de beveiliging van mijn (destijds prijzige, high end) smartphone niet zoveel voorstelt. In zakelijke omgevingen betekent BYOD echt een groot risico, in elk geval met Android devices.
19-09-2015, 09:15 door karma4
Je hebt het over een telephone (ver spreken). Met de eerste centrales werd de verbinding handmatig door een telefoniste gelged en die kon gewoon alles horen. De analoge lijn was zo af te tappen (AM-modulatie). Telex en Morse allemaal met de juiste middelen het meeluisteren is open. Wat is er voor nieuws aan?

Het is niet de endpoint (smartphones deskstop) en niet het dataverkeer waar je een technische oplossing voor bedenkt. Nooit gelukt en zal niet lukken door de tegenstrijdigheden. Daarvoor heb je toezichthouders nodig die kunnen ingrijpen.
Het is dat de toezichthouders (lees de overheid) die taak verzaakt en zelf op de data-graai toer gaat.
19-09-2015, 09:39 door Anoniem
Dit is beter op te lossen door op een telefoon een Virtual Machine systeem te installeren waarin de core functies zoals
bellen in een andere virtuele machine draaien dan de leuke grapjes zoals mailen en surfen.
En daar wordt ook aan gewerkt. Nieuwe versies van de typische CPU's die gebruikt worden in telefoons e.d. die zijn
uitgebreid met support voor virtualisatie, en daarbij wordt dit ook als use-case genoemd.
Dus in de toekomst zullen we wel een Android versie zien die dat gebruikt (geen idee op welke termijn).
19-09-2015, 13:28 door johanw
Het grootste gevaar is altijd nog dat verplicht 112/911 kunnen bellen gebleken. Fabrikanten weigeren om een optie toe te voegen om die functie uit te zetten (misschien mogen ze dat ook wel niet van overheden, die vervolgens wel klagen dat er zoveel broekzakbellers naar 112 bellen), gelukkig zijn er voor Android Xposed modules om dit van het lockscreen te kunnen verwijderen.
19-09-2015, 13:36 door Anoniem
Ook daarvoor geldt dat het verrekte lastig is om het waterdicht te krijgen. Zie hiervoor ook de bekende exploits die er zijn geweest voor de diverse virtualisatieplatformen

In de volgende video beschrijft Logan Gabriel bijvoorbeeld hoe dit in windows 10 gedaan is (en hoe ze hebben getracht dit te kraken.
http://video.ch9.ms/ch9/dce4/95684795-e752-498c-aaac-e9b7d20fdce4/IsolatedUserModeProcessesAndFeatures_high.mp4
19-09-2015, 14:24 door Anoniem
Waterdicht? IT is nooit waterdicht. Voor alles wat echt duurzaam geheim moet blijven moet je uitwijken naar oeroude technieken. Nummer 1: niet noteren maar van buiten leren.
19-09-2015, 16:35 door Anoniem
Oplossing: dubbele schermbeveiliging, de ene laat gesprekken ontvangen en 112 bellen toe (zoals nu) en de andere is separaat van de eerste schermbeveiliging en laat niet toe om gesprekken te beantwoorden of te starten,ook niet 112,die 2e schermbeveiliging kan je alleen met pincode un-locken,de eerste schermbeveiliging kun je zetten op bijv.inschakelen 30 seconden tot 5 minuten na laatste gebruik,de 2e kun je dan bijv.zetten op inschakelen op 5 tot 10 minuten vanaf laatste gebruik,dan zijn als het goed is beide screenlocks actief en knappe dief die er dan nog (snel) inkomt.
19-09-2015, 19:53 door Rarsus
Door Anoniem: Waterdicht? IT is nooit waterdicht. Voor alles wat echt duurzaam geheim moet blijven moet je uitwijken naar oeroude technieken. Nummer 1: niet noteren maar van buiten leren.

Dat is pas echt een misser. De allerzwakste schakel in de IT keten is de mens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.