Sony Ericsson: Passwortsoftware unsicher

Wissenschaftler des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt haben eine Sicherheitslücke in der Passwortsoftware "Code-Memo" von Sony-Ericsson-Handys gefunden.

"Code-Memo" ist standardmäßig auf den meisten Mobiltelefonen des japanisch-schwedischen Unternehmens installiert. Seinen Nutzern soll das Programm ermöglichen, persönliche Geheimnisse wie Passwörter oder PINs verschlüsselt auf dem Handy zu speichern.

Die Wissenschaftler haben die Schwachstelle im Rahmen einer so genannten "Black-Box-Analyse" gefunden, durch die Angreifer trotz Verschlüsselung mit einfachen Mitteln an alle mit "Code-Memo" gespeicherten Geheimnisse gelangen können. "Dazu sind keine speziellen Hackertools nötig, wir haben den Angriff mit einer handelsüblichen Webcam und kostenloser Standardsoftware durchgeführt", sagt der Fraunhofer-Forscher Ruben Wolf. Das Institut hat den Hersteller bereits über die Schwachstelle informiert.

"Code-Memo" - eigentlich ein "cleveres" Programm

Dennoch halten die SIT-Wissenschaftler "Code Memo" für eine gute Software, sie sei "cleverer als manch anderes Programm". Es zählt ihrer Ansicht nach zu den Programmen, die versuchen, es Angreifern schwer zu machen, indem sie auch bei der Eingabe eines falschen Masterpassworts keine Fehlermeldung zeigen, sondern falsche Geheimnisse generieren.

"Bei dieser eigentlich sinnvollen Irreführung macht das Programm allerdings einen schweren Fehler", sagt Wolf. "Denn es verwendet bei der vermeintlich irreführenden Entschlüsselung Sonderzeichen, die sich per Mobiltelefon gar nicht eingeben lassen, etwa das Paragraphen- oder das Prozentzeichen." Sobald das durch einen Entschlüsselungsversuch erhaltene Passwort ein Sonderzeichen aufweist, das der Nutzer gar nicht eingegeben haben kann, weiß der Angreifer deshalb sofort, dass das eingegebene Masterpasswort falsch sein muss.

Um an die Geheimnisse zu gelangen, muss er also nur alle möglichen Masterpassworte eingeben und kontrollieren, ob verbotene Sonderzeichen in den Passwörtern erscheinen. Mit einem Computer lässt sich dieser Prozess jedoch automatisieren und das richtige Masterpasswort dank der überschaubaren Masterpasswortmenge von rund 10 000 verschiedenen Kombinationen in kurzer Zeit herausfinden.

Laut den Wissenschaftlern müssen sich die Besitzer von Sony-Ericsson-Handys allerdings damit abfinden - es gibt keine Verhaltensweise, mit denen sie den Makel abstellen können.

Reaktion von Sony Ericsson: "Nicht herumprobieren!"

Inzwischen hat Sony Ericsson reagiert und eine Empfehlung für Anwender parat. In einem offiziellen Statement des Unternehmens heißt es: "Uns ist eine Sicherheitslücke in ,Code-Memo' bekannt, und wir arbeiten an einer Lösung. Durch einfaches Herumprobieren ist die Applikation allerdings nicht auszuhebeln. Nutzern, die Bedenken haben, empfehlen wir auf jeden Fall, die Funktion ,Phone Lock' (Telefonsperre) zu aktivieren und im Falle des Handydiebstahls ihre SIM-Karte sofort deaktivieren zu lassen. Von dieser Lücke ist nur ,Code-Memo' betroffen, keine andere Funktion des Handys."