Categories: Software

Passwörter von Palm OS sind leicht zu knacken

Passwörter eines Handhelds mit Palm OS lassen sich ohne große Schwierigkeiten knacken. Wie das im Bereich Netzwerksicherheit tätige US-Unternehmen @stake meldet, sind keineswegs Daten auf einem PDA sicher, die mit dem betriebseigenen System Lockout-Sicherheitstool gesperrt sind.

Das Palm OS besitzt zwei Sicherheitsstufen, die beide mit einem Passwort-Schutz arbeiten. So lassen sich mit „Privat“ gekennzeichnete Einträge verbergen, so dass unbefugte Dritte diese Daten nicht sehen können. Bei dieser Einstellung bleibt das Gerät jedoch für jeden Anwender weiterhin nutzbar. Die höhere Sicherheitsstufe fragt bei jedem Einschalten des Geräts bereits nach einem Login-Code.

Nach Darstellung von @stake können beide Sicherheitssysteme umgangen werden, sobald ein kostenlos erhältlicher Debugger für Palm OS eingesetzt wird. Die Software, die hauptsächlich von Programmierern eingesetzt wird, erlaubt es auch auf Handhelds mit aktivem Passwort-Schutz zuzugreifen. So sollen unbefugte Personen verschlüsselte Daten auslesen sowie Anwendungen installieren und löschen können.

Im Palm OS ist ein RS232-basierter „Palm Debugger“ integriert. Mit einer bestimmten Tastenkombination startet der Handheld eine von zwei Schnittstellen und zeigt das serielle interface für den Datentransfer an. „Console Mode“ wird meistens mit einem „high-level Debugger“ wie Metrowerks Codewarrior eingesetzt, um Datenbanken im Betriebssystem zu verändern. Der „Debug Mode“ wird normalerweise benutzt, um Programmierfehler auszumerzen. Mit einem Softreset des Geräts verlässt man, ohne Spuren zu hinterlassen, den Debug-Mode.

Dieses Problem betrifft alle Palm OS-Versionen bis zur aktuellen Fassung 3.52 und damit alle verkauften Palm OS-PDAs. Bisher galten die Handhelds mit diesem Betriebssystem als sicher gegen unbefugte Zugriffe.

Nach Angaben der Sicherheitsfirma @stake hat Palm sich bisher noch nicht zu dem Sicherheitsloch geäußert. Die deutsche 3Com (Börse Frankfurt: TCC) Division war für ein Statement nicht zu erreichen.

Kontakt: 3Com, Tel.: 089/992200

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago