Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat eine Sicherheitslücke in der Passwort-Software Code-Memo gefunden. Die Software ist standardmäßig auf den meisten Sony-Ericsson-Handys installiert und ermöglicht die verschlüsselte Speicherung persönlicher Informationen wie Passwörter oder PINs. Fraunhofer zufolge können Angreifer trotz der Verschlüsselungstechnik relativ einfach an alle gespeicherten Daten gelangen.
Code-Memo führt Angreifer in die Irre, indem es bei der Eingabe eines falschen Passwortes keine Fehlermeldung anzeigt und statt der gespeicherten Passwörter eine zufällig generierte Kombination von Buchstaben preisgibt. Die an sich nützliche Funktion hat jedoch einen Fehler: der gefälschte Code kann Sonderzeichen enthalten, die sich nicht per Handy eingeben lassen. Dadurch wüssten Angreifer sofort, dass es sich bei der Darstellung und eine Irreführung handelt.
Mit diesem Wissen könne der Hacker alle möglichen Passwörter eingeben und kontrollieren, ob Sonderzeichen enthalten sind, sagt Fraunhofer-Mitarbeiter Ruben Wolf. Der Prozess lässt sich mittels einer Software automatisieren, die überschaubare Anzahl von 10.000 möglichen Kombinationen vereinfacht die Suche zudem. Nach eigenen Angaben habe man für den Angriff eine Webcam sowie eine kostenlose Standard-Software verwendet, spezielle Hackertools seien nicht notwendig. Der Hersteller wurde bereits über die Schwachstelle informiert.