'Encryptie Android loopt ver achter op iOS'

'Encryptie Android loopt ver achter op iOS'

25-11-2016 12:14 Laatste update: 27-04-2018 01:26

De beveiliging van gegevens op Android loopt jaren achter op die van Apples iOS, stelt een belangrijke encryptie-onderzoeker.

Zelfs belangrijke verbeteringen in de laatste versie van Android zijn nog niet voldoende om in de buurt te komen van de beveiliging van de iPhone. Dat concludeert Matthew Green, een gerenommeerde encryptieonderzoeker die les geeft aan de Amerikaanse Johns Hopkins University, na zijn onderzoek naar encryptie op beide platformen.

Encryptie houdt in dat data, zoals inloggegevens, foto's en documenten, niet voor iedereen toegankelijk zijn. Bij een vergrendelde smartphone kun je meestal alleen bij de persoonlijke gegevens als je de juiste pincode invoert. Green stelt dat Android in 2016 nog steeds moeite heeft om eenzelfde niveau van beveiliging neer te zetten als Apple al zes jaar geleden had. "En ze krijgen dat niet eens goed", aldus Green. "Dat voorspelt niet veel goeds voor de veiligheid van Android-gebruikers op de lange termijn."

Vaker kritiek

Het is niet de eerste keer dat Google kritiek krijgt op de encryptie van Android. Eerder zei Chris Soghoian, de belangrijkste techneut van de American Civil Liberties Union, dat Google mensen benadeelt die geen geld hebben om een dure iPhone te kopen: "Apple verkoopt luxegoederen en Google geeft diensten gratis weg in ruil voor toegang tot data." Beide besturingssystemen maken al jaren gebruik van encryptie om bestanden te beveiligen. Apple introduceerde encryptie in 2010 met iOS 4, Google voegde de functie in 2011 toe aan Android 3.0. Pas in 2014 werd encryptie bij beide platformen standaard ingeschakeld: met Android 5.0 Lollipop en iOS 8.

De verschillen 

Het verschil tussen de beveiliging van Android en iOS zit hem in de manier waarop de encryptie wordt toegepast. Bij Android wordt standaard het hele apparaat versleuteld, een praktijk die populair is bij computers en externe harde schijven. Apple versleutelt data juist per bestand. Bij beide vormen wordt gebruikgemaakt van een cryptografische sleutel om toegang te krijgen tot bestanden. De sleutel kun je alleen gebruiken als je de juiste pincode invoert.

Green is van mening dat het versleutelen van het hele apparaat veel minder veilig is. Er is maar één sleutel om toegang te krijgen tot alle bestanden, en die wordt constant in het werkgeheugen bewaard. Anders zouden Android-gebruikers hun toestel niet kunnen gebruiken zodra ze hun pincode invoeren.

Apple versleutelt per bestand waarmee heel veel afgeleide sleutels worden gecreëerd. Met zo'n sleutel kun je geen toegang krijgen tot het hele apparaat, maar tot enkel wat bestanden. Zodra je de telefoon vergrendelt, wordt de sleutel in de meeste gevallen ook weer uit het werkgeheugen gehaald.  Dat is volgens Green een hele veilige methode, omdat de sleutel niet de hele tijd in het geheugen wordt bewaard en de sleutel ook alleen toegang geeft tot specifieke bestanden. 

Android Nougat

De laatste versie van Android, Nougat, voert volgens Green belangrijke verbeteringen door, omdat Google ook per bestand gaat versleutelen. Maar ook dan worden de sleutels, in tegenstelling tot iOS, altijd in het werkgeheugen bewaard. Hij noemt dat een 'halfbakken implementatie' van encryptie.