Sicherheitsloch bei Pocket-PC entdeckt

Handy-PIN im Klartext auf Smartphones gespeichert

Windows für Pocket PC 2002 Phone Edition aus dem Hause Microsoft (Börse Frankfurt: MSF) hat ein nicht zu verachtendes Sicherheitsloch: Wie der Online-Dienst Teltarif berichtet, konnte der Sicherheitscode (PIN) beispielsweise beim Smartphone MDA und XDA unverschlüsselt in Registrydaten des Handys ausgelesen werden.

Das Problem sei in Fachkreisen bereits seit längerem bekannt, bisher aber nicht veröffentlicht worden. Man wollte so Microsoft Zeit zum Nachbessern zu lassen. „Bis heute gibt es allerdings noch keine Aktualisierung oder Korrektur der Software“, beklagt Teltarif.

Der Fehler ist, dass das Betriebssystem die jeweils zuletzt eingetippte PIN (Personal Identification Number) der SIM-Karte im Klartext in der Registry ablegt. Der PIN-Code befinde sich unverschlüsselt in Schlüssel HKEY_CURRENT_USERControlPanelPhoneExtendFunctionExtendData. Das Problem: Wer eine SIM-Karte und die zugehörige PIN hat, kann auf Kosten des Vertragsinhabers quasi unbegrenzt telefonieren.

Der Eintrag in der Registry bleibe selbst dann erhalten, wenn das Gerät in den Standy-Modus geschaltet werde. Wer ein entsprechendes Gerät verleihe oder verliere, müsse also damit rechnen, dass seine PIN-Nummer ausgespäht werde.

Bis Microsoft die Lücke schließe, könnten sich betroffene User eines MDA oder XDA nur mit dem Tool WipePIN schützen, das den Schlüssel mit vier Fragezeichen ???? überschreibe.

Themenseiten: Telekommunikation

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsloch bei Pocket-PC entdeckt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *