Google introduceert een nieuwe beveiligingsfunctie die vergrendelde, ongebruikte Android-toestellen na drie dagen inactiviteit automatisch herstart. Deze beveiligingsupdate zorgt ervoor dat het geheugen weer in versleutelde toestand komt, wat het moeilijker maakt voor forensische tools of kwaadwillenden om data te extraheren zonder toestemming van de gebruiker.
De nieuwe functie is onderdeel van de laatste Google Play services update (v25.14). Hoewel Google zelf geen officiële toelichting heeft gegeven over de exacte motivatie achter deze toevoeging, is de verwachting dat het vooral bedoeld is om apparaten vaker in een niet-exploiteerbare staat te brengen.
“Met deze functie start uw apparaat automatisch opnieuw op als het gedurende 3 opeenvolgende dagen is vergrendeld,” staat in de releasenotes van de update. Door deze automatische herstart wordt het geheugen van een vergrendeld toestel weer volledig versleuteld.
Lees ook: Gmail gebruikt nu webhandtekening bij lege mobiele handtekening
Bescherming tegen forensische tools
In januari 2024 waarschuwden de ontwikkelaars van het privacygerichte besturingssysteem GrapheneOS voor firmwarefouten in Android die door digitale forensische bedrijven worden gebruikt om data zonder toestemming te extraheren.
Wanneer een Android-telefoon voor het eerst wordt opgestart, bevindt deze zich in een ‘Before First Unlock’ (BFU) status. In deze toestand blijft de meeste gebruikersdata versleuteld en ontoegankelijk totdat het apparaat voor de eerste keer wordt ontgrendeld. Zodra een gebruiker het toestel ontgrendelt met een pincode of biometrische gegevens, gaat het apparaat over naar de ‘After First Unlock’ (AFU) status, waarbij de data van de gebruiker wordt ontsleuteld.
Het probleem is dat in beslag genomen of gestolen toestellen zich meestal al in de AFU-status bevinden. Zelfs als het scherm vergrendeld is, kunnen forensische tools dan alsnog enige gebruikersdata extraheren.
GrapheneOS als inspiratie
GrapheneOS introduceerde eerder al een automatisch herstartmechanisme dat het systeem na 18 uur inactiviteit opnieuw opstartte, waardoor het apparaat terugging naar de BFU-status. Dit maakte de data volledig versleuteld en ontoegankelijk voor forensische bedrijven. Apple introduceerde vorig jaar al een soortgelijke functie in iOS om iPhones en iPads beter te beschermen.
Google heeft nu een vergelijkbare functie in Android geïmplementeerd, maar met een minder agressief interval van 72 uur in plaats van 18 uur. Er zijn geen opties om deze tijdsduur aan te passen. Desondanks zou deze periode nog steeds voldoende bescherming moeten bieden tegen veel aanvallen waarbij langdurige fysieke toegang tot het toestel een rol speelt.
Om de fysieke beveiliging verder te versterken, wordt aanbevolen om USB-gegevensoverdracht uit te schakelen wanneer het apparaat is vergrendeld. Amnesty International onthulde eerder dit jaar dat Cellebrite-tools gebruik maken van kwetsbaarheden in USB-kerneldrivers om vergrendelde toestellen te ontgrendelen.