Man bør være forsiktig med hvem man selger sin brukte smartmobil til. For det er langt fra sikkert at tilbakestilling til fabrikkinnstillingene sørger for å slette alle brukerdata. (Bilde: Gary Moseley/Alamy/All Over Press)

Android

Resetting av Android sletter ikke alle data

Selv krypteringsnøkler kan bli funnet igjen.

Det finnes et betydelig bruktmarked for dyrere smartmobiler og nettbrett. Men før man selger en brukt enhet bør man absolutt sørge for at enheten settes tilbake til fabrikkinnstillingene, og at personlig innhold blir slettet. Alle enheter har egen funksjonalitet for nettopp dette.

Upålitelig

Men nå viser det seg at denne funksjonaliteten på ingen måte er feilfri eller komplett, i alle fall ikke når det kommer til Android-baserte enheter.

Ross Anderson, professor i sikkerhetsteknikk ved University of Cambridge, har sammen med PhD-studenten Laurent Simon gjort en sikkerhetsanalyse av tilbakestillingen til fabrikkinnstillingene på 21 ulike, Android-baserte smartmobiler fra fem forskjellige leverandører.

Mobilene var utstyrt med varierende utgaver av Android, mellom versjon 2.3 og 4.3.

Sikkerhetsselskap: – Overdreven frykt for mobilskadevare 

Mastercookie

– Det er på ingen måte gode nyheter. Vi var i stand til å gjenfinne Googles mastercookie på majoriteten av telefonene, noe som betyr at vi kunne ha logget inn på den tidligere eierens Gmail-kontor, skriver Anderson i et blogginnlegg.

Han forklarer at det er komplekse årsaker til at dataslettingen ofte feiler. Nyere enheter fungerer bedre enn de eldre, og mobiler utgitt i samarbeid med Google (Nexus-familien) gjør slettingen bedre enn mer uavhengige mobiler.

Blant årsakene som spesielt nevnes i selve forskningsrapporten, er manglende støtte for sikker sletting i Android eller enhetsdriverne som leverandørene tilbyr.

Vellykkede angrep: Smartmobiler knekt i tur og orden

Tilbakestillingen til fabrikkinnstillinger i Android er upålitelig, i alle fall på litt eldre enheter.
Tilbakestillingen til fabrikkinnstillinger i Android er upålitelig, i alle fall på litt eldre enheter. Bilde: digi.no
 

Fulldisk-kryptering

Ifølge rapporten har fulldisk-kryptering potensial til å begrense problemet, men forskerne fant ut at mislykket resetting lar nok data være igjen til at krypteringsnøkkelen kan gjenopprettes.

En annen utfordring er at det i det hele tatt er vanskelig å slette data på noen sikker måte fra flashbaserte lagringsenheter.

Årsaken er at flashbaserte lagringsenheter vanligvis har en hel del mer kapasitet enn det som vises av operativsystemet. Disse blokkene med flashminne blir først tatt i bruk dersom andre blokker blir «slitt ut» eller defekte over tid.

I mange tilfeller har ikke operativsystemet tilgang til andre blokker enn de som er tilgjengelige via filsystemet. I rapporten presenterer forskerne en rekke tiltak som kan bidra til å løse problemet.

Les også: «Alle» smartmobiler får tyverisperre 

Nyere Android?

Noen av disse tiltakene kan allerede har blitt tatt i bruk i nyere Android-versjoner som ikke har vært en del av undersøkelsen. Det er uansett få eller ingen enheter med Android 4.3 som vil bli tilbudt oppdatering til versjon 4.4 eller nyere via offisielle kanaler.

– Leverandørene er nødt til å gjøre en god del arbeid, og brukerne må vise en hel del forsiktighet, skriver Anderson.

Hva som eventuelt er mulig å få til på enheter hvor brukeren har root-tilgang, er ikke omfattet av rapporten. Det er heller ikke andre enheter basert på andre operativsystemer.

«Anti-tyveriverktøy»

Det finnes en rekke apper fra tredjepartsleverandører som lover å kunne låse enheter som har blitt stjålet, eventuelt også slette dataene på slike enheter.

I en separat rapport omtaler Anderson og Simon en undersøkelse av ti av de mest populære applikasjonene med slik funksjonalitet.

Konklusjonen er at disse applikasjonene i liten grad gis mulighet av operativsystemet til å tilby forbedringer utover det som allerede tilbys av den innebygde, men upålitelige tilbakestillingen til fabrikkinnstillingene.

Forskerne mener derfor at de eneste som kan bidra til å forbedre situasjonen, er enhetsleverandørene selv.

Skandiabanken: Sperrer tilgangen til mobilbank-app 

 

Til toppen