Sicherheitslücke bei Galaxy S3. S-Memo speichert Passwörter in Klartext

0
Geschrieben am 14. November 2012 von Chris in Security

Die App S-Memo, bei jedem Samsung Galaxy S3 bereits vorinstalliert, weist eine gravierende Sicherheitslücke in deren Speicherroutinen für Passwörter auf.

Wie graffixnyc, Moderator des Forums xdaDevelopers, herausgefunden haben will, wird das Passwort seines Google-Accounts im Klartext in der SQLite-Datenbank des Geräts hinterlegt. Da sich die Dateien im geschützten /data-Verzeichnis befinden, ist es ausschließlich über gerootete Smartphones möglich, den Inhalt auszulesen. Dies bietet zwar auf den ersten Blick etwas Sicherheit, sollte aber das Handy in falsche Hände gelangen, so wäre es für einen potentiellen Angreifer ein leichtes, das Gerät zu rooten und sensible Daten auszulesen. 

Ist Root-Zugriff auf dem Smartphone vorhanden, so kann über folgende Schritte herausgefunden werden, ob S-Memo sensible Daten gespeichert hat:

  1. Konfigurieren Sie S-Memo so, dass es sich automatisch mit Google synchronisiert.
  2. Öffnen Sie mit einem SQLite Editor die Datei /data/data/com.sec.android.provider.smemo/databases
  3. Öffnen Sie die Pen_memo.db und selektieren Sie die CommonSettings-Tabelle.
  4. Überprüfen Sie, ob Ihr Google Passwort in Klartext gespeichert ist.

Es sei nochmal angedeutet, dass diese Sicherheitslücke lediglich auf einer gerooteten Ausgabe des Galaxy S3 zum tragen kommt, trotzdem sei dem Entwickler, Samsung, angeraten, schnellstmöglich einen Bugfix für das Problem zu veröffentlichen um eventuellen Schaden abzuwenden.


Über den Author

Chris

--Benutzerbeschreibung folgt--

0 Comments



Sei der erste, der einen Kommentar schreibt!


Hinterlasse eine Nachricht

(benötigt)