Die Aktualisierungen gibt es als
RSS-Feed  oder im Changelog.

Privacy Handbuch

Jede kryptografische Anwendung braucht einen vertrauenswürdigen Anker. Üblicherweise geht man davon aus, dass der eigene PC oder Laptop ein derartiger vertrauenswürdiger Anker ist, über den der Nutzer die volle Kontrolle hat.
  1. Bei Smartphones kann man nicht davon ausgehen, dass der Nutzer volle Kontrolle über die installierte Software hat. Mit dem Kill Switch hat Google die Möglichkeit, auf Android Handys beliebige Apps zu deinstallieren, zu installieren oder auszutauschen.

    Das iPhone und Windows Phone 7 haben ebenfalls einen Kill Switch für Apps.

    Jede Crypto-Anwendung aus den Markets muss also als potentiell kompromittiert gelten. Sie kann genau dann versagen, wenn man den Schutz am nötigsten braucht.

    Im Rahmen des Crypto War 3.0 haben Conztanze Kurz (Sprecherin des CCC) und Konstantin v. Notz (Grüne) im Nov. 2019 den Vorschlag unterstützt, dass Anbieter von Messaging Diensten eine "modifizierte" Version der App bereitstellen könnten, in der die Ende-zu-Ende Verschlüsselung zugunsten der Strafverfolgung kompromittiert wurde. Diese Version könnte in Kooperation mit Google bzw. Apple auf den Smartphones der Zielpersonen verteilt werden. Diese "Frontdoor" genannte Option hätte einige Vorteile gegenüber einer "Backdoor", die die Krypto aller Messaging Apps kompromittiert, oder gegenüber Bundestrojanern, die den Schwarzmarkt für Exploits anheizen werden.
  2. Jede Crypto-Anwendung benötigt gute Zufallszahlen. Der Zufallszahlengenerator der Android Java VM war so besch.... schlecht, dass man nicht die Kompetenz und Rechen­leistung der Crypto-City von Fort Meade braucht, um die Schwächen für kriminelle Zwecke zu nutzen. Hacker konnten die Schwächen der Android Implementierung im Sommer 2013 nutzen, um Geldbörsen von Bitcoin Nutzern leer zu räumen.
  3. Smartphones sind leicht kompromittierbar:
    • Remote Code Execution ist normalerweise ein schwerer Sicherheitsfehler. Bei Android Smartphones ist es ein Feature. Apps können Code aus dem Internet nachladen, der weder von Sicherheitsscanner auf dem Smartphone noch von den Sicherheitsprüfungen in App Stores kontrolliert werden kann. Viele kostenlose Apps nutzen diese Möglichkeit für Werbezwecke. Da die Verschlüsselung der Internetverbindungen zu den Servern nicht immer dem aktuellen Stand entspricht oder garnicht vorhanden ist, kann ein Angreifer gezielt bestimmte Smartphones mit Trojanern verseuchen, indem er den Download on-the-fly modifiziert.
    • Der Sicherheitsexperte C. Mulliner hat das Dynamic Dalvik Instrumentation Framework for Android entwickelt, mit dem man jegliche Kryptografie komplett aushebeln kann.
    • Auch das Xposed Framework kann mit einem ähnlichen Trick Kryptografie komplett aushebeln oder die Privacy-Einstellungen verschärfen (je nach Intention).
    Beide Frameworks benötigen root-Rechte zur Installation, was aber laut C. Mulliner kein große Hürde ist. Hacker haben bereits gute Lösungen entwickelt, zB. Remote rooting.
Lizenz: Public Domain