Passwort-Software von Sony Ericsson unsicher

Fraunhofer-Institut warnt vor Fehlern in Code-Memo-Applikation

Mitarbeiter des Fraunhofer-Instituts für sichere Informationstechnologie (SIT) in Darmstadt haben eine Sicherheitslücke in der Passwort-Software Code-Memo gefunden. Die Applikation ist standardmäßig auf den meisten Sony-Ericsson-Handys installiert und ermöglicht es dem Nutzer, persönliche Daten wie Passwörter oder PINs verschlüsselt auf dem Mobiltelefon zu speichern. Fraunhofer zufolge können Angreifer trotz der eingesetzten Verschlüsselungstechnik mit einfachen Mitteln an alle mit Code-Memo gespeicherten Daten gelangen.

Code-Memo, das von den Wissenschaftlern als im Grunde cleveres Security-Tool beschrieben wird, führt Angreifer in die Irre, indem es bei der Eingabe eines falschen Masterpassworts keine Fehlermeldung anzeigt. Anstelle der gespeicherten Passwörter gibt Code-Memo eine Liste von selbst generierten Codes und Passwörtern frei, die folglich nicht vom Inhaber des Telefons stammen.

„Bei der eigentlich sinnvollen Irreführung macht das Programm allerdings einen schweren Fehler, denn es greift bei der Erstellung der gefälschten Codes auf Sonderzeichen zurück, die sich per Mobiltelefon gar nicht eingeben lassen“, erklärt Fraunhofer-Mitarbeiter Ruben Wolf. Dadurch wüssten Angreifer sofort, dass es sich bei der dargestellten Liste um eine Fälschung handeln müsse.

Um an die geheimen Daten zu gelangen, muss der Handy-Hacker also nur alle möglichen Masterpasswörter eingeben und kontrollieren, ob verbotene Sonderzeichen in den Passwörtern erscheinen. Mithilfe eines einfachen Computerprogramms lasse sich dieser Prozess automatisieren und das richtige Masterpasswort dank der in Code-Memo überschaubaren Menge von 10.000 verschiedenen Masterpasswortkombinationen in kurzer Zeit herausfinden, warnt Wolf.

„Dazu sind nicht einmal spezielle Hackertools nötig. Wir haben den Angriff mit einer handelsüblichen Webcam und kostenloser Standardsoftware durchgeführt“, so Wolf, der die Sicherheitslücke Mitte September auf einer Expertenkonferenz in Singapur vorgestellt hatte. Der Hersteller wurde bereits über die Schwachstelle informiert.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Passwort-Software von Sony Ericsson unsicher

Kommentar hinzufügen
  • Am 11. April 2008 um 0:19 von Wach und Kritisch

    Veraltete Bemängelung von Code-Memo
    Der Artikel müsste wohl aktualisiert werden. Wie es aussieht ist Sony Ericsson schneller als diese Redaktion. Zumindest in meinem Gerät werden bei vielen Versuchen keine Sonderzeichen erzeugt. Alle diese Anzeigen könnten also „echt“ sein und müssten auf Plausibilität geprüft werden. Dann greift aber die Wiederholungsbegrenzung des angegriffenen Systems.

    Danke für den Hinweis. Sie haben aber gesehen, dass Sie auf einen ein halbes Jahr alten Artikel reagieren? Viele grüße, die Redaktion

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *