Smartphone-Verkauf: Android Werksreset löscht nicht alle Daten!
Es steht der Kauf eines neuen Smartphones an und da man keine zwei Geräte braucht, wird das Alte kurzerhand bei ebay verkauft. Vorher führt man natürlich einen Werksreset durch in der Annahme, dass alle Daten die sich im internen Speicher befinden auch wirklich gelöscht sind. Das sind sie aber mitnichten wie sich nun herausstellt hat.
Wenn etwas nicht so wirklich läuft mit dem Smartphone und sich die Probleme häufen, dann ist in der Regel ein Zurücksetzen auf die Werkseinstellungen eine Empfehlung. Das Smartphone oder Tablet einfach mal von allem Ballast befreien und von vorne anfangen wenn man so will. Den sogenannten Hardreset führt man aber auch durch, wenn man das Gerät verkaufen oder an ein Familienmitglied weitergeben will. Allerdings ist das eine trügerische Sicherheit wenn man davon ausgeht, dass auch wirklich alle Daten gelöscht werden. Immerhin sind Apps, Dokumente, Videos und Bilder nach einem Hardreset weg, oder?
Der trügerische Werksreset
Das dem jedoch nicht so ist hat das Sicherheitsteam des Anti-Malware-Spezialisten avast herausgefunden. Die Sicherheitsforscher hatten in einem Versuch wahllos 20 Android-Geräte bei privaten ebay-Verkäufen erstanden und versucht die darauf gespeicherten Daten wiederherzustellen. Das klappte in nahezu jedem Fall und förderte unter anderem Hunderte von Fotos zu Tage, auch die in den letzten Tagen durch so manchen Prominenten bekannt gewordenen Nackt-Selfies. Insgesamt wurden über 40.000 Fotos „gerettet“, darunter über 1.500 Fotos von und mit Kindern sowie über 1.000 der Nackt-Selfies.
Da fragt man sich natürlich was da los ist. Immerhin hat man bei dem Werksreset die Option „Speicher löschen“ mit angehakt. Die Erklärung ist so einfach wie banal: Es wird lediglich der Speicher-Index gelöscht, sodass der Speicher für das System leer erscheint. Eine übliche Methode wenn Dateien gelöscht werden sollen.
Erst wenn neue Daten in dem angeblich gelöschten Sektor auf dem Speicher-Chip gespeichert werden sollen, werden die Daten tatsächlich überschrieben. Vorher sind sie einfach nur zum überschreiben markiert aber eben immer noch vorhanden. Die Gründe dafür sind ganz einfach Bequemlichkeit, da niemand gerne Dutzende Minuten warten will wenn man einen Werksreset durchführt um sämtliche Daten restlos und sicher zu löschen. Immerhin dauert solch ein Vorgang bei einer Festplatte auch sehr lang.
Daten auslesen nach einem Werksreset
Mit Hilfe entsprechender Tools kann man auch nach einem Werksreset und den damit vermeintlich gelöschten Dateien diese Wiederherstellen. Ein solches Programm ist beispielsweise das Forensic ToolKit (FTK), welches als 3,75 GB großes ISO-Image zum Download angeboten wird. Der Download selbst wird kostenlos zur Verfügung gestellt und steht professionellen Forensik-Tools in nichts nach. Neben dem Tool selbst sind auf dem ISO-Image übrigens alle nötigen Treiber und Frameworks (z.B. Microsoft .NET 4.5) und die 32-Bit sowie 64-Bit Versionen der Programme vorhanden.
Mit besagtem Forensic Toolkit lässt sich ohne größere Kenntnisse über digitale Forensik ein vermeintlich durch den Werksreset gelöschtes Smartphone analysieren und Daten wie Bilder, Dokumente, SMS, Facebook-Chats, im Browser besuchte Websites, Snapchat-Konversationen und selbst Google-Suchanfragen anzeigen und wiederherstellen. Der Werksreset ist also keinesfalls so sicher wie die Sicherheitstechniker von avast eindrucksvoll bewiesen haben.
Sicheres löschen
Verhindern kann man solche Dinge nur indem der Speicher mehrfach mit irgendwelchen Daten überschrieben wird, sodass der ursprüngliche und und prekäre Inhalt nicht mehr wiederhergestellt werden kann. avast bewirbt bei dieser Gelegenheit gleich seine eigene App als eine passende Methode, um einen solch kreativen Neubesitzer des verkauften oder verlorenen Smartphones oder auch Tablets einen Riegel vorzuschieben.
Nach der Installation von avast! Anti-Theft muss lediglich ein Account bei my.avast eingerichtet und mit dem zu löschenden Smartphone verknüpft werden. In der Android-App erfolgt als letzte Maßnahme auf dem mobilen Gerät selbst die Aktivierung der Option „Sicheres löschen“ und schon kann über die avast-Website das Android Smartphone aus der Ferne gelöscht werden.
Dabei geht es auch viel einfacher und das ganz ohne zusätzliche App: Man muss einfach die Geräte-Verschlüsselung von Android aktivieren: Einstellungen -> Sicherheit -> Gerät verschlüsseln. Zwar werden dabei die eventuell noch im Speicher vorhandenen Daten nicht gelöscht, aber durch die Verschlüsselung zumindest unbrauchbar gemacht für eine mögliche Datenwiederherstellung, wie es avast eindrucksvoll unter Beweis gestellt hat. Allerdings braucht der Vorgang je nach vorhandener Datenmenge, gut eine Stunde und mehr, weswegen das Smartphone per Netzteil an eine Steckdose angeschlossen werden muss.
Speicherkarte sicher löschen
Übrigens sollte die Speicherkarte bei einem Verkauf nicht vergessen werden: Denn auch diese Daten kann man trotz dem angeblichen „löschen der Daten“ durch einen Werksreset mit der durch avast gezeigten Methode wiederherstellen.
Wir empfehlen das Entfernen der Speicherkarte aus dem Smartphone und diese mithilfe eines Adapters an den PC als zusätzliches Laufwerk zu verbinden. Nun wählen wir in einem Datei-Explorer die Speicherkarte (Laufwerk) mit der rechten Maustaste an und wählen die Option „Formatieren“. – ACHTUNG – dringend darauf achten, dass wirklich die Speicherkarte angewählt wird! Nun entfernen wir den Haken der „Schnellformatierung“ und wählen als Dateisystem die FAT32 Partitionierung. Nach der Formatierung ist unsere Speicherkarte sicher vor Datenwiederherstellungstools endgültig gelöscht.
Man sollte vielleicht nochmals erwähnen, dass das herunterladen des Images zum Installieren vom Forensic ToolKit (FTK) zwar kostenlos möglich ist, das Tool selbst aber nur mit USB-Sicherheitsdongle startet, welchen man für aktuell um die 1200 „Mücken“ pro Jahr mieten kann… [Stand 08-2018]