[dropcap]D[/dropcap]as von SGP Technologies entwickelte und auf Android basierende Blackphone gilt derzeit als das weltweit sicherste Smartphone. Das mag zwar stimmen. Doch haben jüngste Test bewiesen, dass es hundertprozentige Sicherheit nicht geben kann.

Google, Facebook, die NSA und viele weitere Unternehmen und Organisationen wollen vor allem eins: unsere Daten. Und an diese kommen sie im Allgemeinen auch relativ einfach heran, ganz gleich, ob dafür unsere Emails mitgelesen oder unsere Smartphones abgehört werden. Im Sommer 2014 hat das Unternehmen SGP Technologies das so genannte Blackphone auf den Markt gebracht und wirbt seitdem mit dem Versprechen, dass dieses Telefon das weltweit sicherste sei. Kann sogar sein, dass diese Aussage richtig ist – aber dennoch gibt es offenbar keine absolute Sicherheit, was den Schutz privater Daten betrifft.

Auf der Defcon geknackt

Erst vor kurzem ist es nämlich einem Hacker auf der Sicherheitskonferenz Defcon in Las Vegas gelungen, die – zugegebenermaßen recht umfänglichen – Sicherheitsvorrichtungen des Blackphone zu überlisten. Unter dem Namen „Justin Case“ twitterte er, dass er gerade einmal fünf Minuten gebraucht habe, um die Schwachstellen auszumachen und zu umgehen, die das Blackphone aufweist. Indem er die Android Debug Bridge (ADB) aktivierte, bekam er Zugang zum Root-System – ganz ohne den Android-Bootloader entsperren zu müssen. Kurz darauf sah sich die Firma Silent Circle, die die Software des Smartphones entwickelt hat, genötigt, die Aussagen von Justin Case zu dementieren. Doch die zunächst getätigten Aussagen, dass das gehackte Blackphone nicht alle Patches eingespielt haben sollte, nahm das Unternehmen schon kurz darauf zurück und ersetzte sie durch einen Dank an Justin Case, dass seine Bemühungen ein Beitrag zur Sicherheit des Blackphone seien.

Drei kritische Stellen will Justin Case – der Name auf Twitter lautet übrigens @TeamAndIRC – beim Blackphone aufgedeckt haben. Einer davon ist, dass die ADB eingeschaltet werden konnte, ohne den Bootloader zu entsperren. Zweites Problem: ein Fehler in Apaches Harmony, von dem offenbar nahezu alle Android-basierten Betriebssysteme betroffen sind. Über den dritten Fehler ist bis dato nichts nach außen gedrungen, was der Tatsache geschuldet sein mag, dass sich der Chief Security Officer (CSO) von Silent Circle, Dan Ford, auf der Defcon mit Mitgliedern von @TeamAndIRC offenbar ausgetauscht hat und in erster Linie dankbar zu sein scheint, dass „die Geschichte nicht unangemessen aufgeblasen“ wurde, wie es im Blog des Unternehmens heißt.

Merkwürdige Aussagen hinsichtlich der Sicherheitslücken

Zu den ersten beiden Schwachstellen hat Silent Circle inzwischen Stellung bezogen und betont, dass der Umstand, dass die ADB aktiviert werden kann, so gewollt sei. Der Fehler in der Harmony von Apache sei inzwischen behoben; das von @TeamAndIRC gehackte Blackphone sei zu diesem Zeitpunt gar nicht auf dem aktuellsten Stand gewesen. Die dritte Schwachstelle ist laut Ford einer, der längst nicht nur das Blackphone betrifft. Der CSO versichert im Firmenblog, dass Silent Circle jederzeit dazu in der Lage sei, diese Sicherheitslücke zu schließen. Fraglich bleibt indes, warum das nicht schon längst passiert ist. Alles in allem sind die Äußerungen von Silent Circle zu den gefundenen Sicherheitslücken doch etwas merkwürdig.

Bereits im Juli hat das Unternehmen Blackberry den Blackphone-Hersteller SGP Technologies angegriffen und unterstellt, dass es um die Sicherheit des weltweit sichersten Smartphones nicht so gut bestellt sei, wie SGP Technologies immer behaupte. Die Rede war von „Sicherheit auf Heimanwender-Niveau“, was zu einer längeren öffentlichen Auseinandersetzung zwischen den beiden Firmen führte. Blackberry-Anhänger hatten dabei die Tweets von Justin Case aufgegriffen und gegen SGP Technologies gerichtet. Der zeigte sich allerdings alles andere als erfreut und richtete stattdessen einige harsche Wort an Blackberry: „Hey ihr Blackberry-Idioten, hört auf, mich in euren Blogs falsch zu zitieren. Euer Smartphone ist nur ‚sicher‘, weil es so wenig Nutzer und als Ziel so wenig Wert hat.“

Foto: zdnet.de

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.

Beitragskommentare