Passwort-Software von Sony-Ericsson-Handys unsicher - Fraunhofer-Institut findet Sicherheitslücke
Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt haben eine Sicherheitslücke in der Passwort-Software Code-Memo gefunden. Die Software ist standardmäßig auf den meisten Sony-Ericsson-Handys installiert und ermöglicht es dem Nutzer, persönliche Geheimnisse wie Passwörter oder PINs verschlüsselt auf dem Mobiltelefon zu speichern.
Die Wissenschaftler haben im Rahmen einer BlackBox-Analyse eine Schwachstelle gefunden, durch die Angreifer trotz Verschlüsselung mit einfachen Mitteln an alle mit Code-Memo gespeicherten Geheimnisse gelangen können. "Dazu sind keine speziellen Hackertools nötig, wir haben den Angriff mit einer handelsüblichen Webcam und kostenloser Standardsoftware durchgeführt", sagt Fraunhofer-Mitarbeiter Ruben Wolf, der die Sicherheitslücke Mitte September auf der Expertenkonferenz Mobility in Singapur vorstellte. Vorher hatte das Fraunhofer-Institut den Hersteller bereits über die Schwachstelle informiert.
Passwörter und PINs sind nach wie vor das am weitesten verbreitete Mittel, um den Zugang zu Internetdiensten, Unternehmensanwendungen und Bankkonten zu schützen. Viele Menschen haben jedoch zu viele dieser Geheimnisse, um sie sich zu merken, und nutzen deshalb spezielle Passwortprogramme wie Code-Memo. "Wie wir im Rahmen unserer Tests aber immer wieder feststellen, schützt Code-Memo die Nutzergeheimnisse deutlich cleverer als manch anderes Programm", sagt Wolf.
Code-Memo zählt zu den Programmen, die versuchen, es Angreifern schwer zu machen, indem sie auch bei Eingabe eines falschen Masterpassworts keine Fehlermeldung zeigen, sondern mit Hilfe des falschen Masterpassworts falsche Geheimnisse generieren. "Bei dieser eigentlich sinnvollen Irreführung macht das Programm allerdings einen schweren Fehler", sagt Wolf, "denn es verwendet bei der vermeintlich irreführenden Entschlüsselung Sonderzeichen, die sich per Mobiltelefon gar nicht eingeben lassen - etwa das Paragraphen- oder das Prozentzeichen". Sobald das durch einen Entschlüsselungsversuch erhaltene Passwort ein Sonderzeichen aufweist, das der Nutzer gar nicht eingegeben haben kann, weiß der Angreifer deshalb sofort, dass das eingegebene Masterpasswort falsch sein muss.
Um an die Geheimnisse zu gelangen, muss er also nur alle möglichen Masterpassworte eingeben und kontrollieren, ob verbotene Sonderzeichen in den Passwörtern erscheinen - dank Computer lässt sich dieser Prozess jedoch automatisieren und das richtige Masterpasswort dank der sehr überschaubaren Masterpasswortmenge von 10.000 verschiedenen Masterpasswortkombinationen in kurzer Zeit herausfinden.
Netmarks
- http://141.12.72.35/%7erwolf/publications/security-codememo.pdf (PDF-Datei)
- http://www.sit.fraunhofer.de
Quelle
- Pressemitteilung des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) vom 25.09.2007 via Informationsdienst Wissenschaft (idw).
- Anmelden oder Registrieren um Kommentare zu schreiben
Permalink: http://kefk.org/node/21705
Zuletzt bearbeitet: 25. September 2007 - 17:25
Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt haben eine Sicherheitslücke in der Passwort-Software Code-Memo gefunden. Die Software ist standardmäßig auf den meisten Sony-Ericsson-Handys installiert und ermöglicht es dem Nutzer, persönliche Geheimnisse wie Passwörter oder PINs verschlüsselt auf dem Mobiltelefon zu speichern.
Die Wissenschaftler haben im Rahmen einer BlackBox-Analyse eine Schwachstelle gefunden, durch die Angreifer trotz Verschlüsselung mit einfachen Mitteln an alle mit Code-Memo gespeicherten Geheimnisse gelangen können. "Dazu sind keine speziellen Hackertools nötig, wir haben den Angriff mit einer handelsüblichen Webcam und kostenloser Standardsoftware durchgeführt", sagt Fraunhofer-Mitarbeiter Ruben Wolf, der die Sicherheitslücke Mitte September auf der Expertenkonferenz Mobility in Singapur vorstellte. Vorher hatte das Fraunhofer-Institut den Hersteller bereits über die Schwachstelle informiert.
Passwörter und PINs sind nach wie vor das am weitesten verbreitete Mittel, um den Zugang zu Internetdiensten, Unternehmensanwendungen und Bankkonten zu schützen. Viele Menschen haben jedoch zu viele dieser Geheimnisse, um sie sich zu merken, und nutzen deshalb spezielle Passwortprogramme wie Code-Memo. "Wie wir im Rahmen unserer Tests aber immer wieder feststellen, schützt Code-Memo die Nutzergeheimnisse deutlich cleverer als manch anderes Programm", sagt Wolf.
Code-Memo zählt zu den Programmen, die versuchen, es Angreifern schwer zu machen, indem sie auch bei Eingabe eines falschen Masterpassworts keine Fehlermeldung zeigen, sondern mit Hilfe des falschen Masterpassworts falsche Geheimnisse generieren. "Bei dieser eigentlich sinnvollen Irreführung macht das Programm allerdings einen schweren Fehler", sagt Wolf, "denn es verwendet bei der vermeintlich irreführenden Entschlüsselung Sonderzeichen, die sich per Mobiltelefon gar nicht eingeben lassen - etwa das Paragraphen- oder das Prozentzeichen". Sobald das durch einen Entschlüsselungsversuch erhaltene Passwort ein Sonderzeichen aufweist, das der Nutzer gar nicht eingegeben haben kann, weiß der Angreifer deshalb sofort, dass das eingegebene Masterpasswort falsch sein muss.
Um an die Geheimnisse zu gelangen, muss er also nur alle möglichen Masterpassworte eingeben und kontrollieren, ob verbotene Sonderzeichen in den Passwörtern erscheinen - dank Computer lässt sich dieser Prozess jedoch automatisieren und das richtige Masterpasswort dank der sehr überschaubaren Masterpasswortmenge von 10.000 verschiedenen Masterpasswortkombinationen in kurzer Zeit herausfinden.
Netmarks
- http://141.12.72.35/%7erwolf/publications/security-codememo.pdf (PDF-Datei)
- http://www.sit.fraunhofer.de
Quelle
- Pressemitteilung des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) vom 25.09.2007 via Informationsdienst Wissenschaft (idw).
- Anmelden oder Registrieren um Kommentare zu schreiben
Ähnliche Beiträge wie Passwort-Software von Sony-Ericsson-Handys unsicher - Fraunhofer-Institut findet Sicherheitslücke
| Ansichten | Ähnlichkeit | ||
|---|---|---|---|
|
Sicherheitslücke im Passwort-Verwaltungsprogramm von Mobiltelefonen Bild erstellt am 25.09.2007 von Bud, zuletzt bearbeitet am 26.12.2009 |
414 | 542600% | |
|
Pannen-Report 2007 - Jedes fünfte Handy geht kaputt Artikel erstellt am 25.09.2007 von Bud, zuletzt bearbeitet am 25.09.2007 |
557 (2) | 542650% | |
 |
Sicherheitslücke im Apple iPhone Artikel erstellt am 20.11.2008 von Omega, zuletzt bearbeitet am 22.11.2008 |
389 | 733500% |
 |
Physiker realisieren einen Langzeitspeicher für die Quantenkommunikation – Fortschritt für die Sicherheit der Datenübertragung Artikel erstellt am 08.12.2008 von Thomas, zuletzt bearbeitet am 09.12.2008 |
560 | 750350% |
|
|
Lasergekühlte Metalldampfwolke aus Rubidiumatomen Bild erstellt am 09.12.2008 von Thomas, zuletzt bearbeitet am 09.12.2008 |
727 (2) | 750375% |
Neueste Kommentare
vor 1 Woche 5 Tage
vor 17 Wochen 1 Tag
vor 17 Wochen 3 Tage
vor 17 Wochen 4 Tage
vor 18 Wochen 1 Tag
vor 19 Wochen 1 Tag
vor 25 Wochen 6 Tage
vor 44 Wochen 1 Tag
vor 46 Wochen 2 Tage
vor 47 Wochen 10 Stunden