In dem von Sony-Ericsson seit Jahren ausgelieferte Programm Code-Memo hat eine Schwachstelle, das fanden zwei Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie heraus.
Das Programm wurde schon bei den alten Ericsson Handys mitgeliefert und an der Funktion des Programmes hat sich nicht viel getan: Mit dem Programm kann man seine Passwörter und PINs speichern. Code-Memo schützt diese dann mit einem vom Benutzer gewählten Master-Passwort. Sollte ein falsches Master-Passwort eingegeben werden, gibt das Telefon keine Fehlermeldung aus, sondern errechnet falsche Passwörter, die das selbe Muster haben wie das richtige (d.h. reine Nummern-Passwörter bekommen keine Buchstaben usw.). Für den Angreifern ist es nicht ersichtlich, ob die Passwörter richtig oder nicht sind.
Sollte man aber ein Passwort mit Buchstaben und Sonderzeichen (*, #, Ω, Θ, …) speichern, werden bei falschen Master-Passwort Passwörter kreiirt, die teilweise Sonderzeichen enthalten, die über die Handytastatur bei der Passworteingabe durch den Benutzer gar nicht eingegeben werden können. Dies sind unter anderem ©, < und >. So lässt sich durch einen Brute-Force-Angriff (alle Möglichen 10000 Kombinationen werden ausprobiert) leicht erkennen, ob das Master-Passwort richtig eingegeben wurde und somit die Passwörter stimmen. Für ein gutes Ergebnis sollten mindestens 6 solche Passwörter in der Datenbank vorhanden sein.
Ausführen kann man diese Brute-Force-Angriffe, indem man die Eingaben ins Handy per Computer-Software (z.B. floAt’s Mobile Agent) steuert und das Display per Webcam und OCR-Software ausliest.
Das verwenden von Passwörtern ohne Buchstaben und/oder Sonderzeichen um sich gegen solche Attacken schützen zu können ist nicht sinnvoll, weil solche einfachen Passwörter grundsätzlich leicht geknackt werden können. Sinnvoll kann es aber sein, dass das Schlüsselwort, das zum Kontrollieren der Master-Passwort-Eingabe angezeigt werden kann) nicht verwendet wird oder kein Wort ist, da man sonst dadurch mit Hilfe eines Wörterbuchs das Handy angreifen kann.
Sollte diese gefundene Softwarelücke für einen ein großes Problem darstellen, kann man auf alternative Passwort-Manager für’s Mobiltelefon umsteigen, wie z.B. die KeePass-Ports für PDAs und Handys.
Kategorien: Sicherheit | 1 Kommentar »
Das “Session Riding”-Sicherheitsloch in Google Mail wurde inzwischen geschlossen, wie Google mitteilte. Wie des öfteren schweigt Google über genauere Infos zur Lücke und warnt auch seine Benutzer nicht, wenn Google über eine Lücke informiert ist und diese erst noch reparieren muss.
Kategorien: Sicherheit, Web | Kommentare deaktiviert
Wenn man surft während man bei Google Mail eingeloggt ist, können E-Mails ausgespäht werden. Denn mittels „Session Riding“ können die Google Mail-Einstellungen verändert werden. So kann man eine Kopie des gesamten Internetverkehrs an die E-Mail des Angreifer weiterleiten.
Kategorien: Sicherheit, Web | Kommentare deaktiviert
Das US-amerikanische Unternehmen ThePudding bietet unbegrenzt kostenlose VoIP-Telefonate über den Webbrowser in die USA an. Finanziert wird der Dienst über kontextrelevante Werbung, die während dem Telefonat angezeigt wird. Den der Service analysiert die gesprochenen (bis jetzt englischen) Worte der Teilnehmer nach Schlüsselwörter und zeigt dann die passende Werbung an. Der Anbieter plant sein Angebot auf weitere Sprachen auszubauen und weitere Funktionen sollen folgen.
Also ich würde den Dienst nicht nutzen, wenn man da „abgehört“ wird. Wer weiß was für Daten die noch alle Sammeln. Und wenn das System durch viele Benutzer immer besser wird und 90 % funktioniert, kauft Mr. Bundestrojaner den Dienst auf und Telefonüberwachung war noch nie so einfach. Man kann ja auch viel mehr speichern und nach Stichwörtern suchen, was bei Audio-Dateien (Audio-Mitschnitte) nicht ging.
Kategorien: Sicherheit, Web | Kommentare deaktiviert
Herr Schäuble (siehe rechts) will ja den Bundestrojaner jetzt und sofort, wahrscheinlich am besten gestern heute noch. So langsam nervt das Theater und der Medien-Auffuhr. Aber wie sich schon ein paar Personen in den Medien äußern: „Die Terroristen werden neue Wege finden.“ Fängt man halt an nur noch zu skypen (= verschlüsselt, angeblich) oder man verschickt Nachrichten verschlüsselt über ein Telefon und kauft sich einen Verschlüsselungshandcomputer. Es soll ja darum gehen das man mit dem Bundestrojaner nicht mehr wie bei einer Hausdurchsuchung vor einem verschlüsseltem System (= Datenmüll) steht. Aber was ist wenn man einfach ganz wo anders Verschlüsselt? Wenn man sein System verschlüsselt, ist doch der „reale Einbruch“ nicht sinnvoll. Alle wiederreden sich selbst.
Schritte um sich zu schützen:
- System verschlüsseln (gegen den realen Einbruch)
- Linux verwenden (Linux hat weniger Softwarelücken = Schwachpunkte)
- System auf das wichtigste beschränken: E-Mail mit Verschlüsselung, verschlüsselter Chat (weniger Programme mit Sicherheitslücken, desweiteren einen Internet und einen Verschlüsselungs-Computer einrichten)
- Beim Surfen Tor oder ein anderes Anonym-Surfen-System verwenden, so macht man sich nicht verdächtig
… damit sieht man, der Bundestrojaner wird immer weniger sinnvoll …
Kategorien: Sicherheit | 5 Kommentare »
Viele fragen sich, wie der Bundestrojaner aussehen wird. Was wird er können? Funktioniert er überhaupt? Doch das Warten hat nun ein Ende: Ab sofort steht der Bundestrojaner zum Download bereit. So kann man den BKA-Beamten lästige Arbeit abnehmen und als einer der ersten Deutschen Erfahrungen sammeln.
Zugegeben, einen kleinen Formfehler gibt es: Es gibt nicht den Bundestrojaner, jeder Bundestrojaner wird individuell für das Opfer zusammengebaut. Toll nicht? Und das auch noch umsonst.
Kategorien: Sicherheit, Web | Kommentare deaktiviert
