Sicherheitslücke in der Passwort-Software Code-Memo

Sicherheitslücke in der Passwort-Software Code-Memo. Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie in Darmstadt haben eine Sicherheitslücke in der Passwort-Software Code-Memo gefunden. Die Software ist standardmäßig auf den meisten Sony-Ericsson-Handys installiert und ermöglicht es dem Nutzer, persönliche Geheimnisse wie Passwörter oder PINs verschlüsselt auf dem Mobiltelefon zu speichern. Die Wissenschaftler haben im Rahmen einer BlackBox-Analyse eine Schwachstelle gefunden, durch die Angreifer trotz Verschlüsselung mit einfachen Mitteln an alle mit Code-Memo gespeicherten Geheimnisse gelangen können.

„Wie wir im Rahmen unserer Tests aber immer wieder feststellen, schützt Code-Memo die Nutzergeheimnisse deutlich cleverer als manch anderes Programm“, sagt Wolf. Code-Memo zählt zu den Programmen, die versuchen, es Angreifern schwer zu machen, indem sie auch bei Eingabe eines falschen Masterpassworts keine Fehlermeldung zeigen, sondern mit Hilfe des falschen Masterpassworts falsche Geheimnisse generieren. Allerdings, so Wolf, verwende es bei der vermeintlich irreführenden Entschlüsselung Sonderzeichen, die sich per Mobiltelefon gar nicht eingeben lassen – etwa das Paragraphen- oder das Prozentzeichen. Sobald das durch einen Entschlüsselungsversuch erhaltene Passwort ein Sonderzeichen aufweise, das der Nutzer gar nicht eingegeben haben kann, wisse der Angreifer deshalb sofort, dass das eingegebene Masterpasswort falsch sein muss. Um an die Geheimnisse zu gelangen, muss er also nur alle möglichen Masterpassworte eingeben und kontrollieren, ob verbotene Sonderzeichen in den Passwörtern erscheinen.