E
EinsteinXXL
Fortgeschrittenes Mitglied
- 20
Hi Leute,
Gestern hatte ich mir auf meinem OP3T OOS 3.5.3 frisch installiert und beim Start des Phones musste dann ein PIN/Passwort eingegeben werden. Ein App machte das OS unbrauchbar und wollte die veursachende App dann im abgesicherten Modus deinstallieren. Danach wollte Andoid aber nicht mehr booten.
Dafür ist nun aus irgendeinem Grund mein PIN nicht mehr da, welchen ich beim Start immer eingeben musste. TWRP erkennt auch keine Verschlüsselung und fragt demnach nicht nach einem PIN und kann ganz nomal auf den internen Speicher zugreifen. Hä wie geht so etwas? Ich bin wirklich etwas verwirrt!!
EDIT 1: Am abgesicherten Modus kann es nicht liegen. Hatte jetzt mehrmals versucht den Fehler zu reproduzieren, ohne Erfolg. Kann es sein, dass durch das nicht ordungsgemäße Herunterfahren von Android der Header für die Verschlüsselung beschädigt werden kann? Dann sollte aber der Zugriff nicht mehr gelingen!! Ich verstehe echt die Welt nicht mehr!! Welche Partitionen werden von Android eigentlich verschlüsselt (System, Data, Cache, Massenspeicher?) Was mir auch etwas schleierhaft erscheint, ist die Tatsache, dass nach dem Einstellen der Passwortes/PINs für den Systemstart keinerlei Zeit aufgewendet wird um die Partitionen zu verschlüsseln. Es müsste doch etwas dauern die Systempartition und vor allem den Massenspeicher zu verschlüsseln, da die Partitionen komplett überschrieben werden müssen (Sonst würden doch wiederherstellbare Reste des unverschlüsselten Dateisystems übrig bleiben). Bei 64GB oder mehr, sollte das selbst auf Flashspeicher einige Minuten dauern!! Die Verschlüsselung ist doch reine Verarschung, oder von Oneplus fehlerhaft implementiert.
EDIT 2: Also, ich habe nun den Übeltäter gefunden!! Entgegen meiner anfänglichen Vermutung hatte das Ganze nichts mit den "Force Closes" einer fehlerhaften App oder dem abgesicherten Modus zu tun. Installiert hatte ich die App "Flash Alerts 2", welche die Camera-Blitz-LED zur Signalisierung neuer Ereignisse (Anruf, SMS, Chat, etc) benutzt. Für meinem Messenger musste die App den Inhalt der Statusbar überwachen, um richtig zu funktion ieren. Dazu benötigt die App den "Accessibillity Service" von Android und da genau liegt der Hase im Pfeffer.
Bei Aktivierung eben jener Funktion wird man darauf hingewiesen, dass der Sperrbildschirm (und demnach die PIN für die Verschlüsselung) nicht mehr verwendet wird. Die Verknüpfung des Verschlüsselungspasswortes/PIN mit dem Lockscreen ist schon länger ein Kritikpunkt der Androidverschlüsselung. Google torpediert damit die Sicherheit bzw. die Komplexität des Passwortes! Der Lockscreen ist im Grunde nur ein Sichtschutz und bedarf deshalb auch kein komplexes Passwort, da man das Gerät schnell entsperren möchte. Die Sicherheit einer Verschlüsselung hängt hauptsächlich von der Komplexität des Passwortes, dem verwendeten Algorythmus und einer soliden und sicheren Implementierung ab! Die Passwörter oder PINs der meisten User sind meist nicht länger als 4 bis 6 Zeichen, wenn sie überhaupt eine Sicherheitsfunktion nutzen, und das weiß auch Google! Es gibt genug Studien zu dem Thema Passwortsicherheit und deshalb unterstelle ich Google volle Absicht hinter dieser Fehlkonstruktion. Siehe Snowden NSA und Google & Co! Anders ist die "Dummheit" die Lockscreen-PIN für die Geräteverschlüsselung zu verwenden nicht zu erklären. Auch die Limitierung der Passwortlänge auf 16 Zeichen spricht für sich. Zudem scheint dieses Thema Google auch nicht wichtig genug zu sein, denn bekannt ist die Problematik schon seit Android 4.x, aber bisher hat sich daran nichts geändert!! Mir ist auch nicht klar, wieso der Lockscreen deaktiviert werden muss, um die Statusleiste auszulesen. Das kann man doch besser lösen.
Hier noch ein gutes Beispiel wieso das Verschlüsselungspasswort sehr komplex sein sollte. Ganz abgesehen von der dort beschriebenen Sicherheitslücke.
LINK: Bits, Please!: Extracting Qualcomm's KeyMaster Keys - Breaking Android Full Disk Encryption
PS: Vielleicht kann ein Moderator des Thema zu "Android Allgemein" verschieben, da es wenig mit dem Oneplus 3T zu tun hat.
QUELLEN: Android device encryption user interface flaw
Issue 79309 - android - Bugs when setting screen lock if an accessibility service is enabled on Android 5.0 - Android Open Source Project - Issue Tracker - Google Project Hosting
Issue 219498 - android - Android 6.0 has bugs when setting a screen lock if an accessibility service is enabled. - Android Open Source Project - Issue Tracker - Google Project Hosting
Gestern hatte ich mir auf meinem OP3T OOS 3.5.3 frisch installiert und beim Start des Phones musste dann ein PIN/Passwort eingegeben werden. Ein App machte das OS unbrauchbar und wollte die veursachende App dann im abgesicherten Modus deinstallieren. Danach wollte Andoid aber nicht mehr booten.
Dafür ist nun aus irgendeinem Grund mein PIN nicht mehr da, welchen ich beim Start immer eingeben musste. TWRP erkennt auch keine Verschlüsselung und fragt demnach nicht nach einem PIN und kann ganz nomal auf den internen Speicher zugreifen. Hä wie geht so etwas? Ich bin wirklich etwas verwirrt!!EDIT 1: Am abgesicherten Modus kann es nicht liegen. Hatte jetzt mehrmals versucht den Fehler zu reproduzieren, ohne Erfolg. Kann es sein, dass durch das nicht ordungsgemäße Herunterfahren von Android der Header für die Verschlüsselung beschädigt werden kann? Dann sollte aber der Zugriff nicht mehr gelingen!! Ich verstehe echt die Welt nicht mehr!! Welche Partitionen werden von Android eigentlich verschlüsselt (System, Data, Cache, Massenspeicher?) Was mir auch etwas schleierhaft erscheint, ist die Tatsache, dass nach dem Einstellen der Passwortes/PINs für den Systemstart keinerlei Zeit aufgewendet wird um die Partitionen zu verschlüsseln. Es müsste doch etwas dauern die Systempartition und vor allem den Massenspeicher zu verschlüsseln, da die Partitionen komplett überschrieben werden müssen (Sonst würden doch wiederherstellbare Reste des unverschlüsselten Dateisystems übrig bleiben). Bei 64GB oder mehr, sollte das selbst auf Flashspeicher einige Minuten dauern!! Die Verschlüsselung ist doch reine Verarschung, oder von Oneplus fehlerhaft implementiert.
EDIT 2: Also, ich habe nun den Übeltäter gefunden!! Entgegen meiner anfänglichen Vermutung hatte das Ganze nichts mit den "Force Closes" einer fehlerhaften App oder dem abgesicherten Modus zu tun. Installiert hatte ich die App "Flash Alerts 2", welche die Camera-Blitz-LED zur Signalisierung neuer Ereignisse (Anruf, SMS, Chat, etc) benutzt. Für meinem Messenger musste die App den Inhalt der Statusbar überwachen, um richtig zu funktion ieren. Dazu benötigt die App den "Accessibillity Service" von Android und da genau liegt der Hase im Pfeffer.
Bei Aktivierung eben jener Funktion wird man darauf hingewiesen, dass der Sperrbildschirm (und demnach die PIN für die Verschlüsselung) nicht mehr verwendet wird. Die Verknüpfung des Verschlüsselungspasswortes/PIN mit dem Lockscreen ist schon länger ein Kritikpunkt der Androidverschlüsselung. Google torpediert damit die Sicherheit bzw. die Komplexität des Passwortes! Der Lockscreen ist im Grunde nur ein Sichtschutz und bedarf deshalb auch kein komplexes Passwort, da man das Gerät schnell entsperren möchte. Die Sicherheit einer Verschlüsselung hängt hauptsächlich von der Komplexität des Passwortes, dem verwendeten Algorythmus und einer soliden und sicheren Implementierung ab! Die Passwörter oder PINs der meisten User sind meist nicht länger als 4 bis 6 Zeichen, wenn sie überhaupt eine Sicherheitsfunktion nutzen, und das weiß auch Google! Es gibt genug Studien zu dem Thema Passwortsicherheit und deshalb unterstelle ich Google volle Absicht hinter dieser Fehlkonstruktion. Siehe Snowden NSA und Google & Co! Anders ist die "Dummheit" die Lockscreen-PIN für die Geräteverschlüsselung zu verwenden nicht zu erklären. Auch die Limitierung der Passwortlänge auf 16 Zeichen spricht für sich. Zudem scheint dieses Thema Google auch nicht wichtig genug zu sein, denn bekannt ist die Problematik schon seit Android 4.x, aber bisher hat sich daran nichts geändert!! Mir ist auch nicht klar, wieso der Lockscreen deaktiviert werden muss, um die Statusleiste auszulesen. Das kann man doch besser lösen.
Hier noch ein gutes Beispiel wieso das Verschlüsselungspasswort sehr komplex sein sollte. Ganz abgesehen von der dort beschriebenen Sicherheitslücke.
LINK: Bits, Please!: Extracting Qualcomm's KeyMaster Keys - Breaking Android Full Disk Encryption
PS: Vielleicht kann ein Moderator des Thema zu "Android Allgemein" verschieben, da es wenig mit dem Oneplus 3T zu tun hat.
QUELLEN: Android device encryption user interface flaw
Issue 79309 - android - Bugs when setting screen lock if an accessibility service is enabled on Android 5.0 - Android Open Source Project - Issue Tracker - Google Project Hosting
Issue 219498 - android - Android 6.0 has bugs when setting a screen lock if an accessibility service is enabled. - Android Open Source Project - Issue Tracker - Google Project Hosting
Zuletzt bearbeitet:
