Android 5.0 jednak nie taki bezpieczny - szyfrowanie danych opcjonalne
Wbrew wcześniejszym zapowiedziom najnowsza wersja Androida nie będzie oferowała takiego poziomu bezpieczeństwa, jaki wcześniej zapowiadano. Przy okazji wprowadzenia nowej serii flagowców, takich jak na przykład Samsung Galaxy S6 okazało się, że Google zrezygnowało z wymagania szyfrowania wszystkich danych.
Jeszcze w październiku ubiegłego roku Mountain View zapowiadało, że urządzenia, na których fabrycznie instalowany będzie Android 5.0 Lollipop, będą miały domyślnie włączone szyfrowanie danych. W świetle doniesień na temat działalności NSA zapowiedź ta została dobrze przyjęta zarówno przez użytkowników prywatnych jak i biznesowych.
Teraz jednak okazuje się, że szyfrowanie to jest jedynie opcjonalne. Wszystko za sprawą zmian w polityce Google, która obecnie przewiduje, że urządzenie musi pozwalać na szyfrowanie, a producent powinien, choć wcale nie musi, z niego korzystać. Mountain View nie pochwaliło się powodami, jakie stały za tą zmianą, ale można podejrzewać, że najbardziej prawdopodobną przyczyną, dla której Google ściągnęło z producentów wymóg szyfrowania, są bardzo duże spadki wydajności, jakie obserwowano podczas testów.
W najnowszym Androidzie Google stosuje szyfrowanie AES, które co prawda oferuje dość wysoki poziom bezpieczeństwa, ale większość maszyn zapłaci za to spadkiem wydajności. Dopiero 64-bitowe procesory ARMv8 posiadają sprzętowe wsparcie, które pozwala na znaczne przyspieszenie procesu szyfrowania. Niestety procesory tej serii dopiero wchodzą na rynek, więc obecnie producenci muszą podjąć decyzję, czy fabrycznie włączać szyfrowanie i narazić się na znaczący spadek wyników w testach, czy zachować wydajność ale kosztem szyfrowania. Nic dziwnego, że większość z nich decyduje się na drugie rozwiązanie.
Użytkownicy mogą oczywiście sami włączyć szyfrowanie swoich urządzeń mobilnych, ale jeśli nie mają one procesora typu ARMv8, spadek wydajności będzie widoczny. Wygląda więc na to, że na powszechne sprzętowe szyfrowanie danych w Androidzie będziemy musieli jeszcze trochę poczekać.
[Aktualizacja 12:24] Sprawę skomentował Patrick Nielsen, starszy badacz ds. bezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab. Jego wypowiedź przytaczamy w całości.
- Mówiąc o szyfrowaniu całego urządzenia musimy pamiętać, że jeżeli nie zapewnimy klucza szyfrującego w postaci silnego hasła, tokena lub czegoś podobnego, mamy do czynienia z niebezpiecznym placebo. Jeżeli klucz szyfrujący jest wbudowany w produkt (smartfon, tablet itp.), szyfrowanie jest praktycznie bezużyteczne i zapewnia jedynie fałszywe poczucie bezpieczeństwa oraz kolejny punkt na liście funkcji urządzenia. Gdy atakujący ma dostęp do klucza, nawet szyfrowanie klasy wojskowej nie ochroni naszych danych.
Problem ten jest szczególnie widoczny w przypadku smartfonów, ponieważ nie można z nimi stosować zewnętrznych tokenów, a korzystanie z długich, bezpiecznych haseł jest po prostu niewygodne. Tym bardziej, że Android wymaga wprowadzania takiego hasła nie tylko po włączeniu urządzenia, ale także przy każdym odblokowaniu z uśpienia, mimo że nie zwiększa to bezpieczeństwa. Z tego powodu dostawcy urządzeń z Androidem będą prawdopodobnie rezygnowali z szyfrowania, obawiając się, że klienci będą notorycznie zapominali swoje hasła, co z kolei zwiększy ilość zapytań do działów pomocy technicznej.
Warto wspomnieć też o tym, że automatyczne szyfrowanie całego urządzenia oferuje pewną przydatną funkcję - możliwość szybkiego wymazania zawartości smartfona/tabletu bez potrzeby zamazywania całej pamięci - wystarczy zniszczyć obszar, w którym przechowywany jest klucz szyfrujący. Podsumowując, zmiana w polityce licencjonowana Androida nie brzmi dobrze, jednak jedyna rzecz jaką tak naprawdę w większości przypadków tracą użytkownicy, to możliwość szybkiego wymazania pamięci urządzenia
Polecamy na stronach Giznet.pl: Valve i HTC zapowiadają gogle Vive
