Schwachstelle in Sony-Ericssons Passwortprogramm
Sony-Ericssons Passwortspeicher "Code Memo" will Brute-Force-Attacken durch Ausgabe scheinbar richtiger Daten erschweren. Eine Schwachstelle erleichtert jedoch das Ermitteln des Masterpassworts, wie Forscher des Fraunhofer SIT herausfanden.
- Christian Kirsch
Zwei Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) haben eine Schwachstelle in dem auf vielen Handys von Sony-Ericsson installierten Programm "Code Memo" gefunden. Es dient wie viele ähnliche Programme zur Speicherung von Passwörtern und anderen vertraulichen Daten auf dem Gerät. Als Generalschlüssel verwendet es eine vierstellige Zahl.
Anders als vergleichbare Produkte meldet Code Memo jedoch bei einem falschen Schlüssel keinen Fehler, sondern gibt zufällig erzeugte, scheinbar echte Daten aus. Das soll die Ermittlung des richtigen Master-Passworts durch Brute-Force-Angriffe erschweren, bei denen einfach alle 10.000 Kombinationen durchprobiert werden.
Die von Ruben Wolf und Markus Schneider gefundene Schwachstelle resultiert daraus, dass Code Memo bei der Ausgabe der absichtlich falschen Daten Sonderzeichen benutzt, die der Benutzer nicht auf der Tastatur des Handys erzeugen kann. Dazu gehören etwa das Copyright-Zeichen © und sogar <,> sowie %. Wann immer das Programm Daten anzeigt, die eines dieser 17 Sonderzeichen enthalten, muss der eingegebene Generalschlüssel deshalb falsch sein.
In ihrem ihrem Beitrag (PDF-Datei) für die Konferenz Mobility 2007 zeigen die Autoren, dass schon bei sechs gespeicherten Passwörtern mit durchschnittlich drei Sonderzeichen nach Eingabe der 10.000 Ziffernkombinationen für den Generalschlüssel der richtige Schlüssel zweifelsfrei feststeht, wenn Code Memo jedes Zeichen mit der gleichen Wahrscheinlichkeit erzeugt.
Anwender, deren Passwörter nur Buchstaben und Ziffern enthalten, sind durch die Schwachstelle nicht gefährdet. Allerdings raten Experten von deren Verwendung ab, da sie durch Wörterbuch- und Brute-Force-Angriffe zu leicht zu erraten sind.
Den praktischen Beleg für die Angreifbarkeit von Code Memo erbrachten die Autoren mit einem Sony-Ericsson K800i, einem PC und einer Webcam. Vom Rechner aus schickten sie Masterpasswörter per floAt's Mobile Agent zum Mobiltelefon. Eine OCR-Software wertete die von der Webcam aufgenommene Ausgabe von Code Memo aus, sodass sich die unzulässigen Sonderzeichen automatisch identifizieren ließen. Bei 7 Passwörtern mit je 3 Sonderzeichen war das Masterpasswort nach 10.000 Versuchen zweifelsfrei identifiziert, da nur eine Ausgabe keins der Sonderzeichen enthielt.
Wolf und Schneider raten nun von der weiteren Verwendung von Code Memo ab. Ohnehin lassen sich mit dem Programm keine Passwörter speichern, die die erwähnten Sonderzeichen %, <,> oder & enthalten. (ck)
