Redmi Note 7 (lavender) - Unbedingt Sicherheit erhöhen bei entsperrtem Bootloader

[ooo]

Redmi Note 7 (lavender) - Unbedingt Sicherheit erhöhen bei entsperrtem Bootloader

Hintergrundinfo zur Verschlüsselung

Das Phone ist unter MIUI v10 immer grundverschlüsselt (force encryption).
Also die data-Partition mit Apps, App-Daten, dem internen Speicher etc. - Nicht aber eine externe SD Card, wenn vorhanden.
Allerdings ist es nur mit einem sogenannten Default-Passwort verschlüsselt.

(Das gilt auch für Custom ROMs, wie z. B. xiaomi.eu oder LineageOS.)
___

Das Problem

Deswegen kann ein Custom Recovery, wie z. B. TWRP Recovery, die data-Partition entschlüsseln (weil das Default-Passwort bekannt ist).
Das gelingt selbst dann, wenn man als Bildschirmsperre ein Token gesetzt hat (Token = Muster|PIN|Passwort) und zusätzlich die Fingerabdruck-Entsperrung einsetzt.
Dadurch kann jeder mit Zugriff auf das Phone an die Daten heran (durch die "Hintertür").

Das Phone muss dafür auch nicht gerootet sein. Der entsperrte Bootloader genügt bereits.

(Ein Custom Recovery kann nur gestartet werden, wenn der Bootloader entsperrt ist, Geräte mit einem gesperrtem Bootloader sind "sicher".)
___

Die Lösung

Um zu vermeiden, dass jeder an die Daten eines Phones trotz Bildschirmsperre heran kommt, dessen Bootloader entsperrt ist, muss man folgende Schritte durchführen:

Einstellungen > Erweiterte Einstellungen > Sicherheit > Verschlüsselung & Anmeldedaten > Gerät mit Sperrbildschirmpasswort verschlüsseln

Dann den Hinweisen folgen.
_


_
___

Wenn man das Phone auf diese Weise abgesichert hat, kommt es zu einem neuen Problem.

Startet man in das TWRP Recovery, konnte dieses vorher die data-Partition automatisch entschlüsseln (mit dem Default-Passwort).
Dann konnte man z. B. direkt ein Backup machen oder einen Mod/Tweak installieren, der auch auf der data-Partition etwas ändert.

(Oder als Dieb, Daten stehlen und Identitätsdiebstahl begehen, im Internet auf Rechnung mit der Kredit-Karte des Phone-Besitzers einkaufen, Leute im Namen des Phone-Besitzers beleidigen etc.)

Jetzt geht das erst, nachdem man das Token der Bildschirmsperre eingibt (Token = Muster|PIN|Passwort; Fingerprint funktioniert im TWRP Recovery nicht).

Unter Android 9 Pie/MIUI v10 existiert jetzt ein Fehler: Hat man eine PIN/ein Passwort verwendet, dann wird ein Muster abgefragt und umgekehrt.
Damit lässt sich die data-Partition im gestarteten TWRP Recovery nicht mehr entschlüsseln.

Lösung (bei Verwendung von PIN oder Passwort)

TWRP > Token wird abgefragt
TWRP > Cancel
TWRP > Advanced > Terminal

Eingabe:

twrp decrypt <HIER_PIN_ODER_PASSWORT_DER_BILDSCHIRMSPERRE_HINSCHREIBEN>

(Mit Eingabe-/Enter-Key bestätigen. - Das Phone wird entschlüsselt ...)

TWRP > Home-Symbol unten am Bildschirm antippen (Zurück in das TWRP-Hauptmenü)

Erst jetzt ist die data-Partition entschlüsselt und man kommt an die Daten heran.

 

[7Zoll]

Frage: Du schreibst, dass PIN/Passwort und Muster bei der TWRP-Abfrage vertauscht sind: Was macht man denn, wenn man das Gerät per Muster verschlüsselt hat (oder geht das gar nicht) und die PIN/Passwort-Abfrage in TWRP kommt?

Ich hab die Verschlüsselung noch nie gemacht, daher die (vielleicht unsinnige) Frage.

 

[ooo]

Bei einem gesetzten Muster kann ich nur raten, weil ich es nie verwende.

Bei einem 3 x 3 Punkte Pad kann man evtl. probieren, die Punkte mit den Ziffern des Dialpad vom Telefon gleichzusetzen.

[ 1 ] [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6 ]
[ 7 ] [ 8 ] [ 9 ]
​

Wenn man z. b. ein Muster hat, das waagerecht von oben links nach oben rechts und dann weiter senkrecht von oben rechts nach unten rechts gezogen wird, dann wäre die PIN 12369 und damit der Befehl zur Entschlüsselung

twrp decrypt 12369

Wie sich das mit 4 x 4 oder 5 x 5 Punkten verhält, weiß ich nicht. Evtl. wird dann wieder bei 1 begonnen oder als 2-Byte-ASCII HEX-Code interpretiert (01, 02, ..., FE, FF)?

Falls das nicht geht, kann man ja über die System-Einstellungen die Bildschirmsperre zurück auf nur Wischen setzen (Default-Passwort) oder (danach?) auf PIN oder Passwort wechseln und die Entschlüsselung (siehe die Beschreibung des Schalters in den Einstellungen im Start-Posting) vorher entfernen.

Hier noch der Commit zum "Dreher" unter LineageOS bzw. der Source Code im TWRP Recovery zum Device:
https://review.lineageos.org/c/LineageOS/android_system_vold/+/231354/2/binder/android/os/IVold.aidl
omnirom/android_bootable_recovery

 

[7Zoll]

Wenn man das Passwort bzw. PIN nur nach jedem Neustart eingeben muss und nicht zum ständigen Entsperren (außer, der Fingerabdruck wird mal nicht erkannt), dann nehm ich halt ein Passwort dafür, das ist nicht das Problem.

Übrigens interessant, dass Du mit dieser Anleitung genau das gebracht hast, was ich vor längerer Zeit mal als Sicherheitsproblem bei meinem "kate", Redmi Note 3 SE, mit TWRP ansprach, aber keine Lösung dafür fand. Denn in der Tat ist das Ding durch Unlock und TWRP ohne Verschlüsselung offen wie ein Scheunentor für den, der ein bisschen Ahnung hat.

Muss man dann eigentlich auch bei einem Update, z.B. beim Flashen einer neuen xiaomi.eu-ROM oder von Magisk, zuerst in TWRP die Verschlüsselung decrypten? Ich nehme mal stark an, oder?

 

[ooo]

Ja, ich erzähle das bereits einige Zeit, aber es interessiert niemanden, bis sie mir den Teppich nassheulen (Device gestohlen, Bootloader entsperrt, ab da ein "interessantes" & "aufregendes" Leben für den Eigentümer - evtl. in Armut ...). - Aber egal.
___

Bei einem Update über TWRP interessiert die Verschlüsselung nicht, weil nur Partitionen beschrieben werden, die nicht von der durch den Benutzer eingerichteten Verschlüsselung angefasst wurden (also data bzw. userdata werden nicht angefasst). - Magisk braucht die data-Partition bei der Installation auch nicht.

(Um zu flashen, muss man bei einer verschlüsselten/nicht entschlüsselbaren data-Partition auf TWRP > Advanced > ADB Sideload zurück greifen oder einen OTG-USB-Stick/eine externe SD Card benutzen.)

 

[7Zoll]

So, ich hab nun das Gerät unlocked, Xiaomi.eu drauf und ein Passwort eingerichtet. Nun werde ich beim Booten danach gefragt, klappt alles. Normalerweise funktioniert der Fingerabdruck gut, aber mit nassen Fingern war das bisher oft nicht der Fall. Dann muss ich ja immer das lange PW eingeben, oder gibts eine Möglichkeit, das Verschlüsselungs-PW nur beim Start eingeben zu müssen?

 

[der_peter]

Ist das eigentlich ein gängiges Problem bei neuen Smartphones, also das das Default-PW bekannt ist? Oder ist das nen reines Xiaomi Problem? Finde ich schon hart bedenklich irgendwie.

 

[ooo]

Nein, das Thema ist nicht Xiaomi-spezifisch und auch kein "gängiges Problem", wenn man sich vernünftig mit der Materie beschäftigt hat (und für Devices, deren Bootloader nicht entsperrt wurde, auch nicht relevant).

Original Android Dokumentation dazu, Google schreibt den Code dafür, Device-Hersteller nutzen diesen i. d. R.:

• Full-Disk Encryption | Android Open Source Project
• File-Based Encryption | Android Open Source Project
• Encryption | Android Open Source Project

Hartcodiertes Default Password im aktuellen Source Code (AOSP von Google):

• cryptfs.cpp - platform/system/vold - Git at Google

(Es ist nur dann bedenklich, wenn man den Bootloader entsperrt und das Device nicht entsprechend sichert und/oder erst gar keine Verschlüsselung/Display-Sperre einrichtet. Gegen unintelligentes Verhalten kann Google oder ein Hersteller auch nichts machen ... Das sind u. a. Leute, die auch ein Format Data machen und DM-verity bzw. Forced Encryption ausschalten, ohne zu wissen, warum und was die Konsequenzen sind ...)

 

[7Zoll]

Bei mir war es nun schon zweimal der Fall, dass nach dem Neustart keine Verschlüsselung mehr aktiv war. Ich musste zwar das Passwort für die Bildschirmsperre eingeben, aber erst nach der PIN und nachdem das System bereits hochgefahren war.

Wenn ich es dann in den Einstellungen entschlüssele und wieder verschlüssele, kommt die Passwortabfrage ganz zu Beginn beim Booten.

Woher das rührt, weiß ich nicht. Scheinbar passiert das, wenn man bestimmte Apps installiert bzw. deren Rechte ändert. Das macht mir ein bisschen Sorge, ob das hier wirklich sicher ist.

 

[mahabo]

Frage: Du schreibst, dass PIN/Passwort und Muster bei der TWRP-Abfrage vertauscht sind: Was macht man denn, wenn man das Gerät per Muster verschlüsselt hat (oder geht das gar nicht) und die PIN/Passwort-Abfrage in TWRP kommt?

Ich hab die Verschlüsselung noch nie gemacht, daher die (vielleicht unsinnige) Frage.

Ich habe das Note 7 letzte Woche erst bekommen und warten noch auf die Entsperrung des Bootloaders.

Ich vermute mal, dass es auch komfortabel funktioniert, wenn man wenn man die Verschlüsselung kurz vor einem Zugriff über TWRP in den Systemeinstellungen vorübergehend deaktiviert. Man spart sich erstens die Eingabe über das Terminal und zweitens kann man nach Belieben ein Passwort oder ein Muster zur Verschlüsselung verwenden.

 

[Soulreaver1993]

Guten Abend zusammen,

ich habe die Anleitung hier befolgt, allerdings dadurch jetzt ein großes Problem.

Ich habe Magisk upgedatet und wie empfohlen neu gestartet, daraufhin hatte ich einen Brick. Dalvik und Cache wipen half nichts, ich bootete ständig ins Fastboot.

Ich habe dann via vorhandenem twrp ins orangefox geflasht und eine custom rom geflasht. Jedoch wird jetzt das entsperr Muster angefragt und nicht der Code.

ich kann die Rom so nicht entsperren, lediglich in orange fox kann ich noch was machen.

Kann mir jemand sagen wie ich das wieder weg kriege?

Lg

 

[Andy]

Unter /data/system löschen falls vorhanden (Sicherheitshalber vorher noch wegsichern) :
locksettings.db
locksettings.db-shm
locksettings.db-wal
gatekeeper.password.key
gatekeeper.pattern.key

 

[Soulreaver1993]

Danke für die späte Hilfe, allerdings existiert keine der Dateien.

Sind diese für die Forced decryption oder fürs reine Passwort der Rom?

Ich habe das Gerät auf der gerooteten offiziellen Firmware verschlüsselt.

 

[Andy]

Damit wird das Entsperrmuster bzw. Pin gelöscht.

 

[TomGeBe]

@Soulreaver1993 Ist doch weiter oben beschrieben:
Im Orangefox, wenn das Muster abgefragt wird abbrechen. Dann kommt man ins Hauptmenü von Orange. Dann Terminal aufrufen und > TWRP decrypt "Dein Pin, Passwort" < eingeben. Dann sind die Daten entschlüsselt.

 

[Soulreaver1993]

So mache ich das auch, deswegen kann ich in TWRP ja noch agieren. Aber die Rom kann ich damit dann trotzdem nicht booten, da das PW wieder verlangt wird. Aber bei der Rom kann ich nicht auf den Pin wechseln.

Oder verstehe ich hier etwas falsch?

EDIT: Ich finde folgendes auf XDA:

Quote:
Originally Posted by Luckyfactory
How do I remove the encryption with this twrp?

The same way as with any other twrp - format the data partition. But you really do not want to remove encryption on this device. Better study the README.md file in the download directory before trying to do anything like that, so you know the consequences of the device not being encrypted.

Mein english ist leider nicht das beste, muss ich hier wirklich das Gerät komplett formatieren? Falls ja wie? Oder könnte damit das neu flashen via Fastboot (glaube ich) gemeint sein?

 

[Andy]

Geht es jetzt um das Passwort/PIN für die Entschlüsselung oder das Passwort/PIN/Wischgeste für die Bildschirmsperre?

 

[Soulreaver1993]

Es geht um die entschlüsselung die hier im Thread erklärt wurde

Nicht um ein Muster, das wäre ja nach einem cleanflash weg.

 

[Andy]

Alles klar - dann hatte ich dich missverstanden, sry.

 

[Soulreaver1993]

Kein ding, jeder hilfeversuch ist willkommen.