Sicherheitslücke durch Factory Reset bei Android: Ankaufsportale geben Entwarnung

MobileSmartphone
Smartphones (Bild: CNET)

Forscher der Universität Cambridge konnten auf Smartphones, die sie über Ebay und Ankaufsportale erworben hatten, ausreichend viele Daten finden, um auf Google- und Facebook-Konten der Vorbesitzer zuzugreifen. ITespresso hat bei deutschen Aufkäufern nachgefragt, wie groß die Gefahr ist. Die scheinen allesamt gründlicher zu arbeiten, als ihre britischen Kollegen.

Wissenschaftler der Universität Cambridge haben jetzt darauf hingewiesen, dass bei durch das sogenannte Factory Reset bei Android-Smartphones, also dem Zurücksetzen auf die Werkseinstellungen, persönliche Daten der Besitzer zurückbleiben. Sie konnten auf 21 Smartphones der Hersteller Samsung, HTC, LG, Motorola und Google, die sie bei Ebay und Recycling-Firmen aus zweiter Hand gekauft hatten und auf denen die Android-Versionen 2.3.x bis 4.3 liefen auseichend Daten finden, um sich Zugriff auf Google- und Facebook-Konten, SMS und E-Mails der Vorbesitzer zu verschaffen.

Sicherheitslücke durch Factory Reset bei Android: Ankaufsportale geben Entwarnung (Bild: CNET)

Den britischen Wissenschaftlern zufolge war die Daten-Partition trotz eines Factory Reset auf keinem der Geräte vollständig gelöscht. Das Zurücksetzen auf die Werkseinstellungen scheiterte ihnen zufolge, weil OEMs die Funktionen für die Datenlöschung nicht richtig implementiert haben und zudem Treiber fehlen, die ein vollständiges Löschen unterstützen. Den Forschern zufolge lassen sich möglicherweise nicht nur Daten von etwa 500 Millionen Android-Smartphones wiederherstellen, sondern auch von etwa 630 Millionen SD-Karten, die zur Erweiterung des internen Speichers benutzt wurden.

Die Meldung ist insbesondere für Verbraucher beunruhigend, die ihr Android-Smartphone bereits selbst weiterverkauft haben, oder es an eines der gängigen Ankaufsportale weiterverkauft haben. ITespresso hat deshalb dort nachgefragt, ob bei einer vergleichbaren Untersuchung hierzulande ähnlich alarmierende Ergebnisse zu erwarten wären.

Die gute Nachricht vorab: Offenbar arbeiten die meisten etablierten deutschen Ankäufer professioneller als ihre englischen Pendants. Allen die auf die Anfrage von ITespresso fristgerecht antworteten – neben dem Pionier Wirkaufens.de auch Flip4new und die Deutsche Telekom – war das Problem der unvollständigen Datenlöschung durch ein Factory Reset bereits bekannt. Dieser potenziellen Schwachstelle wird daher durch entsprechende Maßnahmen begegnet. Wie sich die Situation bei Rebuy.de und dem Trade-In-Service von Amazon darstellt, kann ITespresso an dieser Stelle nicht schildern, da die Anfragen nicht zeitnah beantwortet wurden.

Branchenpionier Wirkaufens.de löscht eigenen Angaben zufolge bereits “seit geraumer Zeit” mit einem zertifizierten Verfahren die Daten auf allen angekauften Smartphones, Tablets und Laptops. Dazu werden die eingesandten Geräte direkt nach dem Auspacken an eine Löschstation angeschlossen, auf der Software des Spezialisten Blancco läuft. Das Gerät wird dabei nicht angeschaltet, Mitarbeiter haben keinen Zugriff auf die Daten.

Falls sich noch SD-Karten in den Geräten befinden, werden diese entfernt und in einem abgeschlossenen Behälter aufbewahrt. Dieser wird regelmäßig durch eine Firma abgeholt und die SD-Karten werden vernichtet. Nachdem die Daten auf dem Mobilgerät zertifiziert gelöscht wurden, wobei Löschprotokolle erstellt werden, wird das aktuelle Betriebssystem auf das Gerät gespielt. Erst dann kommt das Gerät in die weitere Bearbeitung.

Bei Flip4new läuft das Ganze ähnlich ab. Das Unternehmen setzt dazu ebenfalls die Lösung von Blancco ein. “Diese ist das einzige am Markt etablierte Löschverfahren, welches die Daten der Kunden verlässlich und nachweisbar löscht. Somit können keine Daten missbräuchlich genutzt werden“, teilt ein Sprecher auf Anfrage mit. Da Ebay seinen Elektronik-Ankauf in Deutschland über Flip4new abwickelt, gilt dafür dasselbe.

Die Deutsche Telekom, die sowohl in ihren Shops als auch in diversen Aktionen Altgeräte zurücknimmt, wickelt den Prozess über den Partner Teqcycle ab. Dem hat sie diese Aufgabe nicht übertragen, ohne sich vorher gleich mehrfach abzusichern.

“Der gesamte Rückholprozess unseres Partners Teqcycle inklusive der Datenlöschung wurde von der Dekra zertifiziert”, teilt eine Sprecherin auf Anfrage mit. Auch hier komme die Software von Blancco zum Einsatz. Der habe der TÜV Süd 2013 mit einem Gutachten bescheinigt, dass sie alle Daten des Endgerätes ohne die Möglichkeit einer Wiederherstellung löscht. Das Gutachten schließt Endgeräte mit Android-Software explizit mit ein. Zum selben Ergebnis ist laut Telekom auch die MGID – Mitteldeutsche Gesellschaft für Informationssicherheit und Datenschutz mbH gekommen, die die hundertprozentige Datenlöschung mittels Blancco ebenfalls in einem Gutachten bestätigt habe.

Alle Befragten raten ihren Kunden dennoch vor Abgabe Ihres Handys alle persönlichen Daten soweit wie möglich zu löschen und die SIM- beziehungsweise Speicherkarte zu entfernen. Außerdem sollten sie nach Möglichkeit bereits selbst ein Factory Reset durchführen. Das, so Wirkaufens.de, sei vor allem “beim Privatverkauf absolute Pflicht”. Wie jetzt auch die Untersuchung der britischen Wissenschaftler gezeigt hat, schützt das aber unbedingt vor Datenmissbrauch durch Kriminelle. Wer sicher gehen will, sollte daher an einen Aufkäufer verkaufen, der eine zertifizierte Datenlöschung anbietet und ihm die auch bestätigt.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen