Wieso keine Sonderzeichen-Eingabe möglich?

Es geht um das Code-Memo-Programm von SonyEricsson. Hier lassen sich nur bestimmte Sonderzeichen als Code abspeichern. Allerdings zeigt das Gerät bei der Ausgabe eines (absichtlich) falschen Codes auch Zeichen an, die man gar nicht im Code-Memo abspeichern kann.

Richtig, also muss man nur alle möglichen Masterpasswörter eingeben und dann gucken, ob sich in den Codes jetzt ein Sonderzeichen befindet.

Was für ne Riesen-Sicherheitslücke. Bei mir bleiben bei 6 verschiedenen Pins auch bei falschem Passwort alles nur Ziffern.

Panikmache rockt!

Benutzer HP schrieb:
>

Man darf wohl nur keine Passwörter abspeichern, sondern eben nur PINs.

Interessant finde ich noch, dass die unverschüsselten Daten scheinbar im internen Filesystem stehenbleiben, wenn man CodeMemo beendet.

Startet man CodeMemo nach einer Benutzung wieder neu mit dem gleichem Passwort, gibt es keine Verzögerung mehr beim Start. Starte ich mit einem anderem PW, dauert´s eine Weile.

Da man bei den meisten SE Handys über div. Java Applikationen auch an das interne Filesystem kommt, wäre hier wohl eher eine Schwachstelle zu suchen...

hmm, ich benutze Code-Memo auf meinem K800i zwar eigentlich nicht, aber das musste ich grad selber einmal ausprobieren.
Ergebnis:

Von 20 Falscheingaben des Master-PW hatte ich NICHT EINMAL ein nicht-reproduzierbares Sonderzeichen! Alle angezeigten Passwörter hätten also durchaus richtig sein können.

Ich würde daher mal behaupten, dass dieser Effekt entweder nur bestimmte SE-Handies trifft, oder aber derart selten auftritt, dass selbst bei ner Brute-Force-Attacke von den 10000 Möglichkeiten noch genügend übrig bleiben, damit das ganze für Hacker völlig uninteressant wird.