Riesiges Datenschutz-Leck 28.05.2015, 14:15 Uhr

Millionen Passwörter auf Android unsicher

Bis zu 500 Millionen Android-Smartphones sollen über einen fehlerhaft implementierten "Factory Reset" verfügen. Passwörter sind dadurch auch nach dem Zurücksetzen des Geräts wiederherstellbar.
Sicherheitsschloss auf Schaltplan
(Quelle: Shutterstock/wavebreakmedia)
Factory Reset: Das "Zurücksetzen auf Werkszustand" löscht Nutzerdaten in den meisten Fällen nicht zuverlässig.
Quelle: Simon, Anderson
Eine Datenschutz-Lücke gefährdet Millionen Android-Nutzer: Laut einer aktuellen Studie von Sicherheitsforschern der Universität Cambridge (PDF) soll der "Factory Reset" zahlloser Android-Geräte fehlerhaft implementiert sein. Passwörter und Nutzerdaten seien daher auch nach dem Zurücksetzen auf den Werkszustand wiederherstellbar. Die Forscher schätzen, dass bis zu 500 Millionen Geräte weltweit von dem Fehler betroffen sind.
Die Funktion Factory Reset löscht den Gerätespeicher samt Konten, Passwörter und Apps. Meist wird dieses "Zurücksetzen auf Werkseinstellungen" für den Wiederverkauf des Gerätes ausgeführt, um die eigenen Daten vor fremden Zugriff zu schützen.
Wie die Studie aus Cambridge nun aber belegt, arbeitet die Funktion in den meisten Fällen zu ungenau.
Je aktueller, desto sicherer: Die Studie aus Cambridge belegt, dass speziell Geräte mit älteren Android-Versionen Nutzerdaten nur unzureichend löschen.
Quelle: Simon, Anderson
Für ihre Untersuchung haben die Forscher 21 Geräte auf den Gebrauchtmarkt erworben. Zu den Herstellern zählen Samsung, HTC, LG, Motorola und Google, als Betriebssystem kam Android in den Versionen 2.3.x bis 4.3 zu Einsatz.
Bei sämtlichen Geräten gelang es den Forschern, Passwörter, E-Mails und Chats nach einem Factory Reset wiederherzustellen. Darunter auch aktive Sitzungen von Google-Konten. Generell haben neuere Geräte den Factory Reset zuverlässiger durchgeführt als ältere. Smartphones aus dem Hause Google wiesen zudem die höchste Sicherheit auf, während bei Samsung, HTC, LG und Motorola noch viel Nachholbedarf bestehe.

Wie kann ich meine Konten schützen?

Zahlreiche Antivirus-Hersteller bieten in ihren Apps verschiedene Funktionen zum sicheren Löschen von Nutzerdaten und Konten an. Da diese aber auf dem implementierten Factory Reset aufbauen, ist auch deren Zuverlässigkeit nicht gewährleistet. Mehr Sicherheit verspricht hingegen der Einsatz einer 2-Faktor-Authentifizierung für Online-Konten.
Über die zweite Sicherheitsebene ist etwa das Google-Konto auch mit dem korrekten Passwort nicht zugänglich. Um aktive Sitzungen in Google zu beenden, löschen Nutzer nicht mehr verwendete Geräte in den Kontoeinstellungen unter dem Menüpunkt "Geräte". Ohne einen aktuellen Token der zweiten Sicherheitsebene ist es anschließend nicht mehr möglich, das Gerät anzumelden.




Das könnte Sie auch interessieren