Mitarbeiter des Fraunhofer-Instituts für sichere Informationstechnologie (SIT) in Darmstadt haben eine Sicherheitslücke in der Passwort-Software Code-Memo gefunden. Die Applikation ist standardmäßig auf den meisten Sony-Ericsson-Handys installiert und ermöglicht es dem Nutzer, persönliche Daten wie Passwörter oder PINs verschlüsselt auf dem Mobiltelefon zu speichern. Fraunhofer zufolge können Angreifer trotz der eingesetzten Verschlüsselungstechnik mit einfachen Mitteln an alle mit Code-Memo gespeicherten Daten gelangen.
Code-Memo, das von den Wissenschaftlern als im Grunde cleveres Security-Tool beschrieben wird, führt Angreifer in die Irre, indem es bei der Eingabe eines falschen Masterpassworts keine Fehlermeldung anzeigt. Anstelle der gespeicherten Passwörter gibt Code-Memo eine Liste von selbst generierten Codes und Passwörtern frei, die folglich nicht vom Inhaber des Telefons stammen.
„Bei der eigentlich sinnvollen Irreführung macht das Programm allerdings einen schweren Fehler, denn es greift bei der Erstellung der gefälschten Codes auf Sonderzeichen zurück, die sich per Mobiltelefon gar nicht eingeben lassen“, erklärt Fraunhofer-Mitarbeiter Ruben Wolf. Dadurch wüssten Angreifer sofort, dass es sich bei der dargestellten Liste um eine Fälschung handeln müsse.
Um an die geheimen Daten zu gelangen, muss der Handy-Hacker also nur alle möglichen Masterpasswörter eingeben und kontrollieren, ob verbotene Sonderzeichen in den Passwörtern erscheinen. Mithilfe eines einfachen Computerprogramms lasse sich dieser Prozess automatisieren und das richtige Masterpasswort dank der in Code-Memo überschaubaren Menge von 10.000 verschiedenen Masterpasswortkombinationen in kurzer Zeit herausfinden, warnt Wolf.
„Dazu sind nicht einmal spezielle Hackertools nötig. Wir haben den Angriff mit einer handelsüblichen Webcam und kostenloser Standardsoftware durchgeführt“, so Wolf, der die Sicherheitslücke Mitte September auf einer Expertenkonferenz in Singapur vorgestellt hatte. Der Hersteller wurde bereits über die Schwachstelle informiert.
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…
DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.