Passwort-Software von Sony Ericsson unsicher

Fraunhofer-Institut warnt vor Fehlern in Applikation Code-Memo

Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) http://www.sit.fraunhofer.de in Darmstadt haben eine Sicherheitslücke in der Passwort-Software Code-Memo gefunden. Die Software ist standardmäßig auf den meisten Sony-Ericsson-Handys installiert und ermöglicht es dem Nutzer, persönliche Daten wie Passwörter oder PINs verschlüsselt auf dem Mobiltelefon zu speichern. Die fehlerhafte Funktion wurde von Wissenschaftlern im Rahmen einer BlackBox-Analyse entdeckt. Fraunhofer zufolge können Angreifer trotz der eingesetzten Verschlüsselungstechnik mit einfachen Mitteln an alle mit Code-Memo gespeicherten Geheimnisse gelangen.

Code-Memo, das von den Wissenschaftlern als im Grunde "cleveres" Security-Tool beschrieben wird, führt Angreifer in die Irre, indem es bei der Eingabe eines falschen Masterpassworts keine Fehlermeldung anzeigt. Anstelle der gespeicherten Passwörter gibt Code-Memo eine Liste von selbst generierten Codes und Passwörter frei, die folglich nicht vom Inhaber des Telefons stammen. "Bei dieser eigentlich sinnvollen Irreführung macht das Programm allerdings einen schweren Fehler, denn es greift bei der Erstellung der gefälschten Codes auf Sonderzeichen zurück, die sich per Mobiltelefon gar nicht eingeben lassen", erklärt Fraunhofer-Mitarbeiter Ruben Wolf. Dadurch wüssten Angreifer sofort, dass es sich bei der dargestellten Liste um eine Fälschung handeln müsse.

Um an die Geheimnisse zu gelangen, muss der Handy-Hacker also nur alle möglichen Masterpasswörter eingeben und kontrollieren, ob verbotene Sonderzeichen in den Passwörtern erscheinen. Mithilfe eines einfachen Computerprogramms lasse sich dieser Prozess jedoch automatisieren und das richtige Masterpasswort dank der in Code-Memo überschaubaren Passwortmenge von 10.000 verschiedenen Masterpasswortkombinationen in kurzer Zeit herausfinden, warnt Wolf. "Dazu sind nicht einmal spezielle Hackertools nötig. Wir haben den Angriff mit einer handelsüblichen Webcam und kostenloser Standardsoftware durchgeführt", so Wolf, der die Sicherheitslücke Mitte September auf einer Expertenkonferenz in Singapur vorgestellt hat. Der Hersteller wurde bereits über die Schwachstelle informiert.

(Quelle: pte