Passwort-Software von Sony-Ericsson-Handys unsicher

Die Software ist standardmäßig auf den meisten Sony-Ericsson-Handys installiert. Sie ermöglicht es dem Nutzer, Passwörter oder PINs verschlüsselt auf dem Mobiltelefon zu speichern. Die Wissenschaftler haben im Rahmen einer Black-Box-Analyse eine Schwachstelle gefunden. Angreifer können trotz Verschlüsselung mit einfachen Mitteln an alle mit Code-Memo gespeicherten Geheimnisse gelangen.

„Dazu sind keine speziellen Hackertools nötig, wir haben den Angriff mit einer handelsüblichen Webcam und kostenloser Standardsoftware durchgeführt“, sagt Fraunhofer-Mitarbeiter Ruben Wolf. Code-Memo zeigt auch bei Eingabe eines falschen Masterpassworts keine Fehlermeldung. Stattdessen generiert es mit Hilfe des falschen Masterpassworts falsche Geheimnisse.

„Bei dieser eigentlich sinnvollen Irreführung macht das Programm allerdings einen schweren Fehler“, so Wolf, „denn es verwendet bei der vermeintlich irreführenden Entschlüsselung Sonderzeichen, die sich per Mobiltelefon gar nicht eingeben lassen – etwa das Paragrafen- oder das Prozentzeichen.“ Sobald das durch einen Entschlüsselungsversuch erhaltene Passwort ein Sonderzeichen aufweist, das der Nutzer gar nicht eingegeben haben kann, weiß der Angreifer deshalb sofort, dass das eingegebene Masterpasswort falsch sein muss.

Um an die Geheimnisse zu gelangen, muss er also nur alle möglichen Masterpasswörter eingeben und kontrollieren, ob verbotene Sonderzeichen in den Passwörtern erscheinen. Dank Computer kann er diesen Prozess automatisieren. Das richtige Masterpasswort lässt sich dank der sehr überschaubaren Masterpasswortmenge von 10.000 verschiedenen Masterpasswortkombinationen in kurzer Zeit herausfinden.

Das Fraunhofer-Institut für Sichere Informationstechnologie hat den Hersteller bereits über die Schwachstelle informiert. Genauere Informationen zur Sicherheitslücke stehen zum Download bereit. (dsc)