Google kann Android-Passwörter nicht zurücksetzen

Ein New Yorker Bezirksstaatsanwalt behauptete eine mögliche Entsperrung aus der Ferne bei Android-Geräten vor Version 5.0. Laut Android-Sicherheitschef Adrian Ludwig kann Google jedoch nicht die Entsperrung von mit PIN, Passwort oder Fingerabdruck geschützten Geräten ermöglichen. Nur Muster-Lockscreens auf einigen frühen Geräten erlaubten eine Wiederherstellung über das Google-Konto.

Google hat Meldungen zurückgewiesen, nach denen es Android-Passwörter aus der Ferne zurücksetzen kann. Diese gingen auf einen Bericht des New Yorker Bezirksstaatsanwalts Cyrus Vance zurück, der eine solche Hintertür zumindest für Android-Geräte vor der Version 5 Lollipop behauptete.

Android-Logo (Bild: Google)

Adrian Ludwig, bei Google für die Android-Sicherheit verantwortlich, nimmt dazu auf seiner Google+-Seite Stellung. Er führt von ihm gelesene Meldungen an, nach denen 75 Prozent der Android-Geräte aus der Ferne von Google entsperrt werden können. Das entspreche aber nicht den Tatsachen, wie durch Einblick in den veröffentlichten Quellcode zu sehen sei.

„Google ist nicht in der Lage, die Entsperrung irgendeines Geräts zu ermöglichen, das mit einer PIN, einem Passwort oder einem Fingerabdruck geschützt wurde“, schreibt Ludwig. „Das trifft unabhängig davon zu, ob das Gerät verschlüsselt ist oder nicht, und gilt für alle Versionen von Android.“

Google verfügt demnach auch über keine Methode für den Zugriff auf verschlüsselte Geräte. Das gelte für die seit Android 3.0 mögliche Verschlüsselung durch den Nutzer wie auch für die standardmäßige Verschlüsselung, die es seit Android 5.0 auf bestimmten Geräten gibt.

Der Google-Manager schränkt seine Aussage lediglich ein hinsichtlich einiger Geräte, die für die Entsperrung mit einem Muster konfiguriert wurden. Bis Android 5.0 gab es für den Muster-Lockscreen eine Option für die Wiederherstellung über das Google-Konto. Diese habe sich aber nie auf PIN oder Passwort bezogen. Wer also über ein älteres Modell verfüge und das Feature der Muster-Wiederherstellung nicht nutzen wolle, könne zum Schutz mit PIN oder Passwort wechseln und sie damit deaktivieren.

Noch immer lassen sich allerdings die meisten Android-Geräte nicht vor einem direkten Zugriff durch Behörden selbst schützen. Eine Verschlüsselung ab Werk hatte Google erst im Oktober für neue Geräte mit Android 6 Marshmallow verpflichtend gemacht. Allerdings gilt auch das nur für Geräte, die bei einer Verschlüsselung (AES, 128 Bit) noch einen Datentransfer von mindestens 50 MByte/s erreichen. Geräte, die ein Upgrade auf Android 6 erhalten, sind ebenfalls davon ausgenommen. Die ursprünglich bereits für Android 5 Lollipop geplante Verschlüsselung ab Werk sagte Google im März 2015 ab und legte die Verantwortung alleine in die Hände der Hersteller.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Neueste Kommentare 

3 Kommentare zu Google kann Android-Passwörter nicht zurücksetzen

Kommentar hinzufügen
  • Am 26. November 2015 um 9:51 von PeerH

    Kleine Anmerkung: der Quellcode ist nur vom Open Source Android offen – die Google Apps (= Android (TM), >95% der verkauften Geräte) bringen Google Apps mit, und das ist geschlossener, proprietärer Code von Google. Was da drin ist, ist eben nicht offen – und damit ist der Vorwurf nicht entkräftet. Adrian Ludwig hat möglicherweise nur eine Nebelkerze gezündet und eine Frage beantwortet, die nicht gestellt wurde. Aber so etwas dürfte rauskommen, we will see.

    Fakt: ab Werk wird Android (TM) mit Google Apps ausgeliefert und nicht verschlüsselt – mit Ausnahme aktueller, teurer Android 6 Geräte.

    Wer CyanogenMod auf seinen Androiden aufspielen kann, der kann auch auf älteren Geräten die Verschlüsselung ohne Performance-Einbußen nutzen. Komisch, dass das Google nicht hinkriegt?

    • Am 27. November 2015 um 0:19 von PeerH

      Zudem er ja nur sagt, dass ein Unlick und Zugriff nicht möglich sei – der Staatsanwalt sprach aber davon das Passwort zurücksetzen zu können. Und dann ist ein unlock oder eine Umgehung der Verschlüsselung nicht nötig:

      „„Google ist nicht in der Lage, die Entsperrung irgendeines Geräts zu ermöglichen, das mit einer PIN, einem Passwort oder einem Fingerabdruck geschützt wurde“, schreibt Ludwig. „Das trifft unabhängig davon zu, ob das Gerät verschlüsselt ist oder nicht, und gilt für alle Versionen von Android.““

      Alter Trick: wenn Du etwas nicht beantworten willst, beantworte einfach irgendwas, was nah dran ist. Der Masse fällt der Schmuh nicht auf.

  • Am 28. November 2015 um 9:31 von Hmm

    Wenn du nur auch so amazing misstrauisch gegenüber Apple wärst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *