Tyske forskere har fundet et svagt punkt i mobiltelefoner fra Sony-Ericsson, hvor hackere med enkle midler kan skaffe sig adgang til de pinkoder og kodeord, man har gemt i sin telefon.
Sikkerhedshullet findes i telefonernes "Husk koder"-funktion, som ellers er praktisk, når man skal holde styr på sine koder til netbank, kreditkort, mobilkontoer og online-tjenester.
Det er forskerne på det tyske Fraunhofer Insitut der har fundet det alvorlige sikkerhedshul i den software, der er installeret på de fleste Sony-Ericsson-telefoner, skriver it-sikkerhedsportalen SecurityManager.de
"Vi har ikke brugt specielle hacker-værktøjer, men gennemført angrebet med et ganske almindeligt webcam og gratis standardsoftware," fortæller Ruben Wolf fra Fraunhof-instituttet.
Smart, lidt for smart
Fraunhofer-forskerne mener, at Sony-Ericssons Husk koder-program langt hen ad vejen er mere snedigt indrettet, end andre lignende programmer.
For eksempel kommer telefonen ikke op med en fejlmeddelelse, når der trykkes en forkert kode.
Faktisk generer programmet et vildledende kodeord på baggrund af et forkert indtastet masterpassword.
Det er smart, men åbner samtidig den dør, som hackeren kan komme ind ad.
Vildledningsmanøvren bruger nemlig specialtegn som paragraf- og procenttegn. Og de tegn kan brugeren slet ikke bruge i en kode, forklarer Ruben Wolf fra Fraunhofer Institut.
Når crackeren ser specialtegnene i det falske kodeord, ved han, at det er et kodeord, som brugeren ikke selv kan have tastet ind, og derfor ikke kan være det rigtige.
Dermed har passwordet afsløret sig selv som falsk, og hackeren behøver derefter blot at sætte sin computer til at tjekke mulige kodeord. Og kan med det samme udelukke alle dem, der indeholder specialtegn.
Den proces kan en computer hurtigt udføre, for mængden af mulige passwords er ifølge Fraunhofer-forskerne overskuelige 10.000.
Et par timer er nok
Det tog forskerne et par dage at hacke telefonen.
Men hacking'en blev udført som et fritidsprojekt ved siden af det daglige arbejde, oplyser Oliver Küch, pressechef hos Fraunhofer Institut.
"Med en koncentreret indsats og professionelle værktøjer vil det tage dem, eller enhver anden, få timer at gennemføre angrebet," siger Oliver Kücher til Computerworld.
Han peger på, at sikkerhedshullet i sagens natur ikke er alvorligt, hvis folk ikke bruger deres Sony-Ericsson-telefon som lagersted for pinkoder og følsomme data.
"Det er ikke sikkert at bruge det værktøj, når masterpassword'et kan findes så nemt. Os bekendt har Sony-Ericsson ikke udsendt en security-update," siger Oliver Kücher.
Tyskerne har advaret Sony-Ericsson om sikkerhedsbristen.
Det er indtil videre ikke lykkedes Computerworld at få en kommentar fra Sony-Ericsson.
