Mitarbeiter des Fraunhofer-Instituts für sichere Informationstechnologie (SIT) in Darmstadt haben eine Sicherheitslücke in der Passwort-Software Code-Memo gefunden. Die Applikation ist standardmäßig auf den meisten Sony-Ericsson-Handys installiert und ermöglicht es dem Nutzer, persönliche Daten wie Passwörter oder PINs verschlüsselt auf dem Mobiltelefon zu speichern. Fraunhofer zufolge können Angreifer trotz der eingesetzten Verschlüsselungstechnik mit einfachen Mitteln an alle mit Code-Memo gespeicherten Daten gelangen.
Code-Memo, das von den Wissenschaftlern als im Grunde cleveres Security-Tool beschrieben wird, führt Angreifer in die Irre, indem es bei der Eingabe eines falschen Masterpassworts keine Fehlermeldung anzeigt. Anstelle der gespeicherten Passwörter gibt Code-Memo eine Liste von selbst generierten Codes und Passwörtern frei, die folglich nicht vom Inhaber des Telefons stammen.
„Bei der eigentlich sinnvollen Irreführung macht das Programm allerdings einen schweren Fehler, denn es greift bei der Erstellung der gefälschten Codes auf Sonderzeichen zurück, die sich per Mobiltelefon gar nicht eingeben lassen“, erklärt Fraunhofer-Mitarbeiter Ruben Wolf. Dadurch wüssten Angreifer sofort, dass es sich bei der dargestellten Liste um eine Fälschung handeln müsse.
Um an die geheimen Daten zu gelangen, muss der Handy-Hacker also nur alle möglichen Masterpasswörter eingeben und kontrollieren, ob verbotene Sonderzeichen in den Passwörtern erscheinen. Mithilfe eines einfachen Computerprogramms lasse sich dieser Prozess automatisieren und das richtige Masterpasswort dank der in Code-Memo überschaubaren Menge von 10.000 verschiedenen Masterpasswortkombinationen in kurzer Zeit herausfinden, warnt Wolf.
„Dazu sind nicht einmal spezielle Hackertools nötig. Wir haben den Angriff mit einer handelsüblichen Webcam und kostenloser Standardsoftware durchgeführt“, so Wolf, der die Sicherheitslücke Mitte September auf einer Expertenkonferenz in Singapur vorgestellt hatte. Der Hersteller wurde bereits über die Schwachstelle informiert.
Neueste Kommentare
1 Kommentar zu Passwort-Software von Sony Ericsson unsicher
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Veraltete Bemängelung von Code-Memo
Der Artikel müsste wohl aktualisiert werden. Wie es aussieht ist Sony Ericsson schneller als diese Redaktion. Zumindest in meinem Gerät werden bei vielen Versuchen keine Sonderzeichen erzeugt. Alle diese Anzeigen könnten also „echt“ sein und müssten auf Plausibilität geprüft werden. Dann greift aber die Wiederholungsbegrenzung des angegriffenen Systems.
Danke für den Hinweis. Sie haben aber gesehen, dass Sie auf einen ein halbes Jahr alten Artikel reagieren? Viele grüße, die Redaktion