Schlagwort-Archive: Android

Häufige Schwachstellen in der Verschlüsselung durch Apps

Nachdem kurz nach der WhatsApp Übernahme die Suche nach und Diskussion über einen sicheren Messenger begann, möchte ich im Folgenden kurz auf die häufigsten Fehler aufmerksam machen, die App-Entwickler bei der Implementierung von Verschlüsselung zur Datenübertragung machen.

Schwachstelle 1: Die App nutzt einen gleichbleibenden, symmetrischen Schlüssel

Leider immer noch sehr häufig in Verwendung - gleichbleibendene, symmetrische Schlüssel.

symmetrische Verschlüsselung

Das Risiko liegt klar auf der Hand. Der Schlüssel muss im Client zu irgendeiner Zeit im Klartext vorliegen und kann ausgelesen werden. Ab diesem Punkt ist jede Verschlüsselung hinfällig - die Kommunikation jedes Clients kann entschlüsselt werden.

Häufige Schwachstellen in der Verschlüsselung durch Apps weiterlesen

DNSCrypt für mehr Sicherheit und Privatsphäre

DNSCrypt ist eine interessante Möglichkeit für PCs, Server und Android-Smartphones, die Sicherheit, Integrität und Privatsphäre im Internet deutlich zu erhöhen. DNSCrypt geht auf eine Initiative von OpenDNS zurück, ein globaler, öffentlicher DNS Anbieter.

Die Relevanz der Sicherheit von DNS Anfragen wird häufig von Administratoren und sicherheitsbewussten IT Nutzern übersehen, obwohl die Manipulationen von DNS Antworten eines der häufigsten und einfachsten Möglichkeiten darstellt, ein System zu kompromittieren.

DNSSEC war ein erstes Vorhaben, die Authentizität und Integrität der DNS Daten sicherzustellen.

Was ist DNS, wie funktioniert es?

Ein kurzer Abriss zu den Funktionsweisen des DNS Systems, ich beschreibe im Folgenden die Standardfunktionsweise der Namensauflösung unter Windows, Linux und Android:

DNS Aufloesung ohne DNSCrypt als Flussdiagramm
DNS Auflösung ohne DNSCrypt als Flussdiagramm

Das Diagramm ist einfach verständlich, die Schwachstellen liegen vor allem an den Punkten 1 und 2, worauf ich gleich näher eingehen werde. DNS Anfragen und Antworten werden grundsätzlich im Klartext über das Internet versendet, für jeden lesbar. Mit einem Netzwerk-Sniffer extrahiert, sieht die Anfrage (Punkt 1 in der oberen Darstellung) wie folgt aus: DNSCrypt für mehr Sicherheit und Privatsphäre weiterlesen

TextSecure für Android: Verschlüsselte SMS nutzen

Ein interessantes Tool für die SMS Verschlüsselung ist TextSecure vom Unternehmen WhisperSystems. Das Tool ist Open Source und lässt sich aus den Git-Sourcen kompilieren. Es lässt sich vollständig als Ersatz für den Android SMS Client nutzen und kann sowohl verschlüsselte als auch nicht-verschlüsselte SMS versenden und empfangen.

Eigene Erfahrungen mit TextSecure

Ich verwende das Tool schon eine ganze Weile, einige meiner Freunde inzwischen auch. Jemanden von der Nutzung zu überzeugen ist deutlich einfacher als bei anderen Tools zur sicheren Kommunikation, denn es ist keine weitere "zusätzliche App" die ein User installieren muss, sondern ein Ersatz für den Android SMS Client. Hin und wieder gibt es an der ein oder anderen Stelle noch einige Bugs, aber es werden mit jedem Release weniger. Eine gute Übersicht über das verwendete Protokoll findet sich hier. Die Verschlüsselung basiert auf einer Elliptic Curve Cryptography (ECC).

Textsecure Import Settings Textsecure Export Settings

Beim Einsatz muss berücksichtigt werden, dass eine Verschlüsselung von SMS Kurznachrichten mit TextSecure naturgemäß keinen Schutz der Metadaten bieten kann. Der Provider erfährt auch durch den Einsatz von TextSecure wer wann mit wem Nachrichten ausgetauscht hat. Für eine Anonymisierung ist TextSecure weder programmiert, noch nutzbar. Aber Schutz vor neugierigen Blicken oder automatisierten Analysen bietet es alle Mal.

Bezugsquellen von TextSecure

Das Tool gibt es kostenlos im Google Play Store. Die App kann und sollte als Standards SMS / MMS Client verwendet werden, den originalen SMS Client habe ich über die App-Einstellungen von Android bei mir deaktiviert. Bevor eine verschlüsselte SMS Kommunikation statt finden kann, muss mit dem jeweiligen Nutzer eine verschlüsselte Sitzung aufgebaut werden - den erfolgreichen Abschluss und die verschlüsselten Nachrichten können leicht an dem Schloss neben den Nachrichten erkannt werden.

Ein ebenfalls interessantes Tool ist die App RedPhone, vom selben Hersteller WhisperSystems. Die App ermöglicht die Verschlüsselung von Telefongesprächen, welche durch das Tool über die Internetleitung des Handys realisiert werden.

Bildnachweis:

  • Beitragsbild: © Sikov - Fotolia.com