Warnung: Crypto auf dem Smartphone ist Bullshit!

Jede kryptografische Anwendung braucht einen vertrauenswürdigen Anker. Üblicherweise geht man davon aus, dass der eigene PC oder Laptop ein derartiger vertrauenswürdiger Anker ist, über den der Nutzer die volle Kontrolle hat.
  1. Bei Smartphones kann man nicht davon ausgehen, dass der Nutzer volle Kontrolle über die installierte Software hat. Mit dem Kill Switch hat Google die Möglichkeit, auf Android Handys beliebige Apps zu deinstallieren, zu installieren oder auszutauschen. Auch alternative Mods auf Basis von Android wie cyanogenmod enthalten den Kill Switch, da er nicht im Open Source Teil von Android implementiert ist. Das iPhone und Windows Phone 7 und Amazon Kindle haben ebenfalls einen Kill Switch.

    Jede Crypto-Anwendung aus den Markets muss also als potentiell kompromittiert gelten. Sie kann genau dann versagen, wenn man den Schutz am nötigsten gebraucht hätte.

    Hinweis: Die App SecDroid deaktiviert bei Installation den Killswitch auf Android Smartphones. Sie steht im F-Droid Store zur Installation bereit.
  2. Jede Crypto-Anwendung benötigt gute Zufallszahlen. Der Zufallszahlengenerator der Android Java VM ist so besch.... schlecht, dass man nicht die Kompetenz und Rechen­leistung der Crypto-City von Fort Meade braucht, um die Schwächen für kriminelle Zwecke zu nutzen. Ganz gewöhnliche Hacker konnten die Schwächen der Android Implementierung im Sommer 2013 nutzen, um Geldbörsen von Bitcoin Nutzern leer zu räumen.
  3. Samrtphones sind leicht kompromittierbar:
    • Remote Code Execution ist normalerweise ein schwerer Sicherheitsfehler. Bei Android Smartphones ist es ein Feature. Apps können Code aus dem Internet nachladen, der weder von Sicherheitsscanner auf dem Smartphone noch von den Sicherheitsprüfungen in App Stores kontrolliert werden kann. Viele kostenlose Apps nutzen diese Möglichkeit für Werbezwecke. Da die Verschlüsselung der Internetverbindungen zu den Servern nicht immer dem aktuellen Stand entspricht oder garnicht vorhanden ist, kann ein Angreifer gezielt bestimmte Smartphones mit Trojanern verseuchen, indem er den Download on-the-fly modifiziert.
    • Der Sicherheitsexperte C. Mulliner hat das Dynamic Dalvik Instrumentation Framework for Android entwickelt, mit dem man jegliche Kryptografie komplett aushebeln kann.
    • Auch das Xposed Framework kann mit einem ähnlichen Trick Kryptografie komplett aushebeln oder die Privacy-Einstellungen verschärfen (je nach Intention).
    Beide Frameworks benötigen root-Rechte zur Installation, was aber laut C. Mulliner kein große Hürde ist. Hacker haben bereits gute Lösungen entwickelt, zB. Remote rooting.

Wer es trotzdem versuchen will: Crypto Apps

Wer trotzdem ein besseres Gefühl im Bauch hat, wenn die Kommunikation verschlüsselt wird, kann folgende Apps nutzen: (wird fortgesetzt)
Lizenz: Public Domain