Masterpasswort

Sicherheits-Lücke in Sony-Ericsson-Handys

Fraunhofer-Institut: Code-Memo-Software ist unsicher
Von Marie-Anne Winter

Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie in Darmstadt haben eine Sicherheitslücke in der Passwort-Software Code-Memo gefunden. Diese Software ist standardmäßig auf den meisten Handys von Sony-Ericsson installiert und ermöglicht es dem Nutzer, persönliche Geheimnisse wie Passwörter oder PINs verschlüsselt auf dem Mobiltelefon zu speichern. Die Wissenschaftler haben im Rahmen einer BlackBox-Analyse eine Schwachstelle gefunden, durch die Angreifer trotz Verschlüsselung mit einfachen Mitteln an alle mit Code-Memo gespeicherten Geheimnisse gelangen können.

Dazu sind laut Fraunhofer-Mitarbeiter Ruben Wolf keine speziellen Hackertools nötig, der Angriff wurde mit einer handelsüblichen Webcam und kostenloser Standardsoftware durchgeführt. Die Sicherheitslücke wurde bereits vor einigen Tagen auf der Expertenkonferenz Mobility in Singapur vorgestellt. Vorher hatte das Fraunhofer-Institut den Hersteller bereits über die Schwachstelle informiert.

Passwörter und PINs sind nach wie vor das am weitesten verbreitete Mittel, um den Zugang zu Internetdiensten, Unternehmensanwendungen und Bankkonten zu schützen. Viele Menschen haben jedoch zu viele dieser Geheimnisse, um sie sich zu merken, und nutzen deshalb spezielle Passwortprogramme wie Code-Memo. "Wie wir im Rahmen unserer Tests aber immer wieder feststellen, schützt Code-Memo die Nutzergeheimnisse deutlich cleverer als manch anderes Programm", sagt Wolf. Code-Memo zählt zu den Programmen, die versuchen, es Angreifern schwer zu machen, indem sie auch bei Eingabe eines falschen Masterpassworts keine Fehlermeldung zeigen, sondern mit Hilfe des falschen Masterpassworts falsche Geheimnisse generieren.

Fehler bei der Irreführung

"Bei dieser eigentlich sinnvollen Irreführung macht das Programm allerdings einen schweren Fehler", erklärt Wolf, "denn es verwendet bei der vermeintlich irreführenden Entschlüsselung Sonderzeichen, die sich per Mobiltelefon gar nicht eingeben lassen – etwa das Paragraphen- oder das Prozentzeichen."

Sobald das durch einen Entschlüsselungsversuch erhaltene Passwort ein Sonderzeichen aufweist, das der Nutzer gar nicht eingegeben haben kann, weiß der Angreifer deshalb sofort, dass das eingegebene Masterpasswort falsch sein muss. Um an die Geheimnisse zu gelangen, muss er also nur alle möglichen Masterpassworte eingeben und kontrollieren, ob verbotene Sonderzeichen in den Passwörtern erscheinen – dank Computer lässt sich dieser Prozess jedoch automatisieren und das richtige Masterpasswort dank der sehr überschaubaren Masterpasswortmenge von 10 000 verschiedenen Masterpasswortkombinationen in kurzer Zeit herausfinden. Genauere Informationen zur Sicherheitslücke finden sich im Internet [Link entfernt] .