Android-Verschlüsselung wurde verschlimmbessert
Android bevorzugt offenbar seit einigen Jahren für Internet-Verbindungen Verschlüsselungsverfahren, die eigentlich als geknackt gelten. Die Motivation dahinter ist unklar.
Android bevorzugt seit einigen Jahren für SSL-Verschlüsselung Verfahren, die als geknackt oder zumindest sehr problematisch angesehen werden. Seit der Einführung von Android 2.3 im Jahr 2010 stehen RC4 und MD5 ganz oben auf der Liste der so genannten Cipher Suites; frühere Versionen bevorzugten AES mit SHA-1 und Forward Secrecy (DHE-RSA-AES256-SHA), was als sehr viel besser gilt.
Offenbar wurde also eine durchaus sinnvolle Liste durch Crypto-Präferenzen ersetzt, die schwächere Verfahren bevorzugen. Die Motivation für diese Umstellung ist unklar. Man kann natürlich spekulieren, dass die NSA bei dieser Auswahl die Finger im Spiel hatte. Der IT-Security-Berater Georg Lukas, dem die Änderung zuerst aufgefallen war, entdeckte in der Versions-History Kommentare, die darauf schließen lassen, dass es den Google-Entwicklern darum ging, direkt kompatibel zur Java-Referenz-Implementierung von Sun zu sein.
Die Auswirkungen sind allerdings nicht ganz so dramatisch, wie es auf den ersten Blick scheint. So sind die Präferenzen des Clients nicht bindend; in der Praxis sind die meisten Server so eingerichtet, dass sie gemäß der eigenen Vorlieben entscheiden, welche Verfahren zum Einsatz kommen. Schlimmer ist da schon, dass Android offenbar zwischenzeitlich gar keine Cipher-Suiten mit AES mit 256-Bit-Schlüsseln mehr unterstützte.
Darüber hinaus verwenden offenbar der Browser und WebView eigene Listen mit besseren Voreinstellungen. In einem kurzen Test von heise Security wünschten sich bei einem aktuellen Android 4.2.2 und bei 4.0 sowohl der Standard-Browser als auch Dolphin AES256 mit SHA und ECDHE; die für den Export verkrüppelten Verfahren fanden sich dabei genauso wenig in der Liste wie das einfach zu knackende DES. Auf einem Smartphone mit Android 2.3.7 zeigte der SSL-Test der Uni Hannover jedoch die problematische Kombination RC4-MD5 ganz oben auf der Liste.
Vor allem betroffen dürften also Apps sein, deren Entwickler die Voreinstellungen des Systems übernommen haben und somit verschlüsselte Verbindungen bevorzugen, die dem Stand der Technik sicher nicht gerecht werden. Ob das zu einem echten Sicherheitsproblem wird, entscheidet dann der Server. Mittlerweile wurde ein Bug-Report für diese Angelegenheit eröffnet.
Update 21:40, 15.10.2013: Berufsbezeichnung von Georg Lukas korrigiert, Link zum SSL-Test gefixt und das Auswahlverfahren für die zu verwendende Cipher-Suite klarer beschrieben. (ju)
