Forensik-Tool kann Android-Screens wiederherstellen

Sicherheitsforscher haben auf der Usenix-Konferenz Retroscope gezeigt. Mit dem Forensik-Tool lassen sich die Bildschirminhalte auch von verschlüsselnden Apps zurückverfolgen. Retroscope stellt die Speicherinhalte der Bildschirme wieder her, macht also sozusagen Screenshots von Displays aus der Vergangenheit.

Möglich ist dies, weil auch sicherheitskritische Apps wie Banking-Anwendungen die alten Bildschirminhalte im Display-Memory nicht löschen. Denn per Default ist vorgesehen, dass diese Inhalte durch einen Aufruf aus dem Android-Framework wieder dargestellt werden können.

Diesen Aufruf nutzen die Forscher für den Zugriff auf die Display-Historie. Sie berichten in ihrem Papier, dass sie je nach App zwischen drei und 11 Bildschirme wieder herstellen konnten. Zur Liste der Apps, die dies ermöglichen, zählen Calendar, Contacts, Facebook, Gmail, Instagram, TextSecure und WhatsApp. Ausprobiert wurde dies auf den Smartphones Samsung S4, LG G3 und HTC One. In einem Video demonstrieren die Forscher die Funktionsweise ihres Tools.

Somit lässt sich durch den Einsatz von Retroscope oder einem vergleichbaren Werkzeug die Verschlüsselung von Apps austricksen, die nicht explizit die alten Bildschirminhalte löschen. Die meisten Apps verzichten aus Performance-Gründen darauf. (js)