Google heeft in Android 7.0 (N of Nougat) de beveiliging grondig opgetrokken. Maar volgens een professor cryptologie blijft het systeem achterop hinken ten opzichte van iOS.
Matthew Green geeft cryptologie aan de Amerikaanse Johns Hopkins University en onderzocht versleuteling op beide systemen. In weze had Android tot nu toe Full Disk Encryption (FDE) en gebruikt iOS al even File-based Encryption (FBE), wat Android sinds versie 7.0 ook gebruikt.
Vier Vs twee niveaus
Green wijst er op dat FDE makkelijker te implementeren is, maar minder geschikt is voor smartphones. Ook laat het toe dat specifieke bestanden worden versleuteld of niet. Zo wordt de encryptiesleutel doorgaans bewaard in het werkgeheugen (RAM), maar omdat smartphones de hele dag door aan staan en worden gebruikt, is een ‘alles-of-niets’ encryptie minder nuttig.
Bij Apple’s smartphones kunnen ontwikkelaars met behulp van een API vier niveaus toepassen: Volledige encryptie (enkel toegang als het toestel aan staat en niet vergrendeld is), Encryptie tot er (na een reboot) voor het eerst een wachtwoord wordt ingegeven, geen encryptie of een speciale optie waarbij nieuwe bestanden (bv foto’s terwijl je toestel nog vergrendeld is) standaard worden versleuteld.
Apple doet het beter
De cryptoloog nuanceert dat ook Apple niet perfect is, maar dat het wel grondig heeft nagedacht over het beveiligingsproces. Android probeert iets gelijkaardig, maar loopt volgens hem achter. Zo kan je als ontwikkelaar kiezen om bestanden te versleutelen tot de gebruiker (eenmalig) een wachtwoord ingeeft, of device encrypted storage, dat geen encryptie geeft als het toestel aan staat, maar nog niet ontgrendeld is.
Dat Android maar twee methodes aanbiedt tegenover vier in iOS is volgens Green een probleem. Ook is het voor een app moeilijk om te weten wanneer een toestel opnieuw vergrendeld is, wat extra beveiliging moeilijk maakt.
In weze gaat het er op dat encryptiesleutels in het RAM worden bewaard, en mensen met zeer geavanceerde kennis kunnen die sleutels achterhalen zo lang ze daar zitten. In praktijk blijft dat een moeilijke opdracht. Maar wie een gevoelig doelwit is voor hackers, bijvoorbeeld door bepaalde informatie op je telefoon, kan dus wel makkelijker worden gehackt op Android.
Green sluit zijn betoog af door te zeggen dat Android weliswaar stappen onderneemt, maar het zijn dezelfde stappen die Apple enkele jaren al nam. “Ze (Android, nvdr) hanteren een verdomd lage standaard. Het is 2016 en Android heeft nog steeds moeite met encryptie die op niveau van het lockscreen beveiligd terwijl Apple dat zes jaar geleden al had. En zelfs Apple kan het nog niet op de juiste manier. Dat is geen goede zaak voor de beveiliging van Android op lange termijn.”
Fout opgemerkt of meer nieuws? Meld het hier