Hintertür in Finanzsoftware Intuit Quicken

Der russische Anbieter von Passwort-Recovery-Programmen Elcomsoft will in der Finanzsoftware Intuit Quicken eine Backdoor entdeckt haben. So sei das Passwort zur Sicherung der Daten mit einem 512-Bit langen RSA-Key geschützt, den nur der Hersteller Intuit kenne. Laut Elcomsoft nutzt Intuit den Schlüssel für einen Entschlüsselungsdienst, um Anwendern, die ihr Passwort vergessen haben, wieder den Zugang zu ihren Daten zu verschaffen. Elcomsoft geht davon aus, dass der "Zentral-Schlüssel" auch bei staatlichen Kontrollbehörden hinterlegt wurde – Beweise dafür legt der Hersteller jedoch nicht vor.

Das US-CERT soll über das Problem informiert sein, betroffen ist laut Bericht Intuit Quicken in allen Versionen von 2003 bis 2007. Elcomsoft will es zudem gelungen sein, den 512-Bit-Schlüssel zu faktorisieren, also zu knacken. Elcomsoft kritisiert zwar, dass die Backdoor es Crackern und Hackern erleichtere, an vertrauliche Daten zu gelangen, bietet die Advanced Intuit Password Recovery (AINPR) mit eingebautem Zentral-Schlüssel aber selbst in eigenen Produkten an. Sollte Intuit allerdings ein Update herausgeben, um das Problem zu lösen, wäre das Verfahren möglicherweise wertlos.

Deutsche Anwender von Quicken müssen sich wahrscheinlich wenig Sorgen um die Sicherheit ihrer Finanzdaten machen. Seit 2002 entwickelt Lexware Quicken eigenständig weiter, da der US-Hersteller Intuit zu viele Probleme bei der Implementierung des Euro, der Mehrwertsteuer und anderen regionalen Gegebenheiten hatte. Nach Angaben des Lexware-Pressesprechers Johann Eicher unterscheide sich seitdem die Codebasis, die Backdoor sei daher in den Quicken-Versionen von Lexware nicht enthalten – gleich sei nur noch der Programmname.

Siehe dazu auch:

• RSA-640 geknackt, Meldung auf heise Security
• Passwortknacker lernt Teamwork, Meldung auf heise Security

(dab)