Artikel empfehlen

Lücke in Samsung-App: S Memo speichert Google-Passwort im Klartext


13.11.2012, 16:01 Uhr

s-memo-sicherheitsluecke

Es gibt viele gute Gründe, warum Passwörter grundsätzlich nie im Klartext gespeichert werden sollten – egal ob auf Servern oder Clients. Passwörter müssen gesalzen und gehasht werden, ansonsten stellen sie eine Sicherheitslücke und damit einen Angriffspunkt für Datendiebe dar. Leider scheint sich das noch nicht überall herumgesprochen zu haben. Samsung jedenfalls speichert jedenfalls in der Notizen-App S Memo auf dem Samsung Galaxy S3, Galaxy Note 2 und Galaxy Note 10.1 die Google-Accountdaten des Nutzers im Klartext.

s memo google docsS Memo enthält seit Jelly Bean die Funktion, Daten mit einem Google-Account zu synchronisieren, genauer: im Google Drive (in der S Memo-App kurioserweise noch als Google Docs bezeichnet). XDA-Nutzer graffixnyc stieß nun auf die eklatante Lücke in Samsungs Sicherheitsmaßnahmen beim Durchstöbern der zu S-Memo zugehörigen SQlite-Datenbank – dort wird das Passwort im Klartext gespeichert.

Diese Vorgehensweise ist gleich in doppelter Hinsicht fahrlässig: Zum einen weil das Kennwort unverschlüsselt gespeichert wird – mit Zugriff auf die Systemverzeichnisse (sprich: mit Root-Rechten) kann man die Datenbank und damit das Passwort einfach auslesen. Zum anderen, weil Samsung zur Synchronisierung das für den Nutzer viel einfachere und sicherere OAuth 2.0-Authentifizierungsverfahren hätte verwenden können, welches das Google Drive SDK zur Verfügung stellt.

Die Argumentation, dass es sich um keine echte Sicherheitslücke handelt, weil ja Rootrechte notwendig wären, um an die Google-Daten zu kommen, ist nicht stichhaltig. Denn wenn einem Nutzer sein Smartphone abhandenkommt und dieses von einem Missetäter aufgelesen wird oder ein Unhold das Gerät stiehlt, der die nötigen Fachkenntnisse besitzt, kommt dieser trotzdem an die Google-Account-Daten.

Wir hoffen, dass Samsung diese Sicherheitslücke schnellstens beseitigt und halten euch natürlich auf dem Laufenden.

[via XDA-News]

Bewerte diesen Artikel
1 Star2 Stars3 Stars4 Stars5 Stars
Ø 5.00 von 5 - 7 Bewertung(en)
Loading ...
Folge androidnext auf Facebook

  • http://www.androidnext.de/news/aokp-forum-der-custom-rom-kompromittiert-passwoerter-jetzt-aendern/ AOKP: Forum der Custom ROM kompromittiert, Passwörter jetzt ändern

    [...] nächste Sicherheits-Geschichte nach der gestrigen Meldung einer eklatanten Sicherheitslücke in einer Samsung-App: Das Forum der Custom ROM-Macher von AOKP [...]

Verwandte Artikel