Passwortsperre von Palms Treo ausgehebelt

Nicht immer schützt das Sperren des Smartphones vor den Zugriffen eines Angreifers auf vertrauliche Informationen, wie Symantec in einem Fehlerbericht erläutert. So soll sich die Passwort-Sperre auf Treo-Smartphones von Palm aushebeln lassen, um trotzdem auf dem Handy gespeicherte vertrauliche Informationen anzuzeigen. Schuld ist die Find-Funktion der Treos, die über bestimmte Tastenkombinationen auch auf einem gesperrten Gerät zu erreichen ist und mit der über die Suchergebnisse der Zugriff auf SMS-Nachrichten, Memos, Kalendereinträge, Aufgaben und so weiter möglich ist. Außerdem lässt sich nach Angaben von Symantec über die Find-Funktion auch ein Editierfenster öffnen.

Die Tastenkombinationen zum Aufruf von Find soll allerdings nur während eines eingehenden Anrufes und eines ausgehenden Notrufes funktionieren. Beides stellt aber für einen Angreifer, der einen Treo in seinen Besitz gebracht hat, keine große Hürde dar. Betroffen sind laut Fehlerbericht Palms Treo 650, Treo 680 und Treo 700p. Palm ist über das Problem informiert, will nach Angaben von Symantec aber keinen Patch zum Beseitigen der Lücke veröffentlichen. US-Medienberichten zufolge arbeitet der Hersteller aber doch an einem Update für die Modelle 700p und 680; ein Lösung für das Treo 650 werde noch untersucht. Einen inoffiziellen Patch, der aber noch nicht weiter getestet wurde, gibt es bereits auf der Treo-Community-Seite Treocentral.

Anwender sollten bei besonders schützenswerten Informationen über die Verschlüsselung der auf dem Gerät gespeicherten Daten nachdenken.

Siehe dazu auch:

• Palm OS Treo Find Feature System Password Bypass, Fehlerbericht von Symantec

(dab)