In dem von Sony-Ericsson seit Jahren ausgelieferte Programm Code-Memo hat eine Schwachstelle, das fanden zwei Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie heraus.

Das Programm wurde schon bei den alten Ericsson Handys mitgeliefert und an der Funktion des Programmes hat sich nicht viel getan: Mit dem Programm kann man seine Passwörter und PINs speichern. Code-Memo schützt diese dann mit einem vom Benutzer gewählten Master-Passwort. Sollte ein falsches Master-Passwort eingegeben werden, gibt das Telefon keine Fehlermeldung aus, sondern errechnet falsche Passwörter, die das selbe Muster haben wie das richtige (d.h. reine Nummern-Passwörter bekommen keine Buchstaben usw.). Für den Angreifern ist es nicht ersichtlich, ob die Passwörter richtig oder nicht sind.

Sollte man aber ein Passwort mit Buchstaben und Sonderzeichen (*, #, Ω, Θ, …) speichern, werden bei falschen Master-Passwort Passwörter kreiirt, die teilweise Sonderzeichen enthalten, die über die Handytastatur bei der Passworteingabe durch den Benutzer gar nicht eingegeben werden können. Dies sind unter anderem ©, < und >. So lässt sich durch einen Brute-Force-Angriff (alle Möglichen 10000 Kombinationen werden ausprobiert) leicht erkennen, ob das Master-Passwort richtig eingegeben wurde und somit die Passwörter stimmen. Für ein gutes Ergebnis sollten mindestens 6 solche Passwörter in der Datenbank vorhanden sein.

Ausführen kann man diese Brute-Force-Angriffe, indem man die Eingaben ins Handy per Computer-Software (z.B. floAt’s Mobile Agent) steuert und das Display per Webcam und OCR-Software ausliest.

Das verwenden von Passwörtern ohne Buchstaben und/oder Sonderzeichen um sich gegen solche Attacken schützen zu können ist nicht sinnvoll, weil solche einfachen Passwörter grundsätzlich leicht geknackt werden können. Sinnvoll kann es aber sein, dass das Schlüsselwort, das zum Kontrollieren der Master-Passwort-Eingabe angezeigt werden kann) nicht verwendet wird oder kein Wort ist, da man sonst dadurch mit Hilfe eines Wörterbuchs das Handy angreifen kann.

Sollte diese gefundene Softwarelücke für einen ein großes Problem darstellen, kann man auf alternative Passwort-Manager für’s Mobiltelefon umsteigen, wie z.B. die KeePass-Ports für PDAs und Handys.

Eine Antwort zu „Schwachstelle im Code-Memo von Sony-Ericsson“

  1. Stöckchen. › you know sagt:

    […] An welche Blogger schickst du dieses Stückchen weiter? Och menno, jetzt hat mit Denis den Elogy vorweggenommen. Ich schicke es an Benedict. […]

Archiv

Kategorien