Bis zu 500 Millionen Android-Smartphones sollen über einen fehlerhaft implementierten "Factory Reset" verfügen. Passwörter und Nutzerdaten seien dadurch auch nach dem Zurücksetzen des Geräts wiederherstellbar.
Datenschutz-Lücke gefährdet Millionen Android-Nutzer: Laut einer aktuellen
Studie von Sicherheitsforschern der Universität Cambridge (PDF) soll der "Factory Reset" zahlloser Android-Geräte fehlerhaft implementiert sein. Passwörter und Nutzerdaten seien daher auch nach dem Zurücksetzen auf den Werkszustand wiederherstellbar. Die Forscher schätzen, dass bis zu 500 Millionen Geräte weltweit von dem Fehler betroffen sind.
Die Funktion Factory Reset löscht den Gerätespeicher samt Konten, Passwörter und Apps. Meist wird dieses "Zurücksetzen auf Werkseinstellungen" für den Wiederverkauf des Gerätes ausgeführt, um die eigenen Daten vor fremdem Zugriff zu schützen.
Wie die Studie aus Cambridge nun aber belegt, arbeitet die Funktion in den meisten Fällen zu ungenau.
Für ihre Untersuchung haben die Forscher 21 Geräte auf dem Gebrauchtmarkt erworben. Zu den Herstellern zählen Samsung, HTC, LG, Motorola und Google, als Betriebssystem kam Android in den Versionen 2.3.x bis 4.3 zum Einsatz.
Bei sämtlichen Geräten gelang es den Forschern, Passwörter, E-Mails und Chats nach einem Factory Reset wiederherzustellen. Darunter auch aktive Sitzungen von Google-Konten. Generell haben neuere Geräte den Factory Reset zuverlässiger durchgeführt als ältere. Smartphones aus dem Hause Google wiesen zudem die höchste Sicherheit auf, während bei Samsung, HTC, LG und Motorola noch viel Nachholbedarf bestehe.
Wie kann ich meine Konten schützen?
Zahlreiche
Antivirus-Hersteller bieten in ihren Apps verschiedene Funktionen zum sicheren Löschen von Nutzerdaten und Konten an. Da diese aber auf dem implementierten Factory Reset aufbauen, ist auch deren Zuverlässigkeit nicht gewährleistet. Mehr Sicherheit verspricht hingegen der Einsatz einer 2-Faktor-Authentifizierung für Online-Konten.
Über die zweite Sicherheitsebene ist etwa das Google-Konto auch mit dem korrekten Passwort nicht zugänglich. Um aktive Sitzungen in Google zu beenden, löschen Nutzer nicht mehr verwendete Geräte in den
Kontoeinstellungen unter dem Menüpunkt "Geräte". Ohne einen aktuellen Token der zweiten Sicherheitsebene ist es anschließend nicht mehr möglich, das Gerät anzumelden.
Mehr Informationen zum Einsatz einer 2-Faktor-Authentifizierung für Online-Konten erhalten Sie in unserem Praxis-Artikel "
Sicherer Login mit 2-Faktor-Authentifizierung ".