Ponastavitev Androida na tovarniške nastavitve ne izbriše vseh podatkov

Raziskovalci s Cambridgea so ugotovili, da ponastavitev telefona z Androidom na tovarniške nastavitve ne izbriše nepovratno vseh podatkov, kot bi morala. To predstavlja varnostno tveganje, ker se tovrstna ponastavitev po navadi uporablja za uničenje podatkov pred odprodajo, oddajo ali zavrženjem telefona. Ogroženih naj bi bilo okrog pol milijarde pametnih telefonov. Napaka prizadene tako vgrajen prostor kakor tudi spominske kartice microSD.

Preizkusili so 21 različnih telefonov petih proizvajalcev z različnimi verzijami Androida od 2.3 do 4.3. Podatkov o novejših telefonih ni, sklepajo pa, da so potencialno ogroženi tudi telefoni z novejšo verzijo Androida. Ugotovili so, da prav na vsakem telefonu ostane vsaj drobec osebnih podatkov: kakšna slika, osebni podatki v aplikacijah (npr. odjemalcu za Facebook), sms-sporočilo itd. Zaskrbljujoč je podatek, da so v 80 odstotkih primerih uspeli obnoviti glavni identifikacijski ključ (master token) za prijavo v Googlov profil, torej v Gmail, koledar ipd. Na teh telefonih so obnovili ključ, obnovili ustrezne poverilnice in po ponovnem zagonu se je telefon sinhroniziral z Googlovimi strežniki.

Ugotovili so, da je teoretično mogoče podatke prebrati tudi, če je bil celotni pogon šifriran. V tem primeru so podatki šifrirani s ključem, ki je zaščiten s kombinacijo uporabnikovega gesla in soli (crypto footer). Problem je, da je mogoče ta ključ obnoviti, kar daje napadalcu možnost, da ga gre sistematično razbijati (offline attack). Tu se potem izkaže, kako dobro močno geslo je uporabnik izbral.

Krivcev je več, ugotavljajo raziskovalci. Enoznačno ne moremo pokazati le na Google ali proizvajalce, temveč so soodgovorni vsi. Pomanjkljiva implementacija, slabi gonilniki, predimenzioniran flash (ogromno rezervnega prostora za nadomeščanje pokvarjenih celic) ter slabo testiranje so med glavnimi razlogi.

Poznavanje navedenih pomanjkljivosti koristi, saj lahko ročno poskrbimo za izbris podatkov. Po ponastavitvi telefona na tovarniške nastavitve ga lahko prepišemo s samimi ničlami ali, še bolje, z naključnimi podatki. Radikalnejša možnost je fizično uničenje telefona, s čimer izgubimo možnost odprodaje starega telefona. Ne koristi pa to nič ljudem, ki telefon izgubijo, in ga želijo pobrisati z možnostjo oddaljenega brisanja (Remote Wipe). Ali so telefoni na drugih platformah kaj bolj varni, raziskava ni preverjala, zato lahko o tem le ugibamo.