Anfang Juli entdeckte ich eine Möglichkeit, die es erlaubt, wie man das
besonders gegen brute-force Angriffe geschützte Masterpasswort des
Passwortmanagers Mobilsitter auch eben mit einem Solchen ausspionieren
kann. Nachdem das Frauenhofer Institut für Sicherheit in der
Informationstechnik auf einen entsprechenden Hinweis von mir nicht
reagierte, (vgl. unten), hielt ich es für angebracht, die ganze
Angelegenheit in einigen Portalen, Foren, etc bekannt zu machen. Beinahe
dieselbe Beschreibung des Angriffsszenarios wie jetzt hier habe ich z.B.
damals auch bei Heise (1) in ein Forum gestellt. u.s.w. Die Reaktionen auf
meinen Hinweis waren jetzt aus möglicherweise nachvollziehbaren Gründen
nicht so berauschend. Da sich aber das Gefahrenpotential, das von einem
derartigen Angriffszenario ausgeht, nicht durch Aussitzen und Verschweigen
sondern nur durch entsprechende aktive Bearbeitung gemindert, bzw.
ausgemerzt werden kann, habe ich mich -jetzt wo ich etwas mehr Zeit habe-
entschloßen einen weiteren Anlauf zu wagen, indem ich das Expüloit jetzt im
Usenet bekannt zu machen versuche.

Der Mobilesitter gibt auch bei Eingabe eines unrichtigen Master-Passwortes
zwar plausible, aber dennoch falsche Informationen bezüglich der in ihm
gespeicherten Passwörter zurück. Auf diese Weise sollen unter Anderem
brute-force, bzw. Wörterbuchangriffe wirkungsvoll und sehr sicher vereitelt
werden. Unter der Voraussetzung, dass die richtigen, erwünschten Passwörter
wirklich gegenüber den unrichtigen, auzuschließenden Daten ununterscheidbar
wären, wäre es dann deswegen unmöglich über irgendwelche Wege des
Ausprobierens das betreffende Master-Passwort, bzw. die entsprechend
gültigen Passwörter zu identifizieren. Eine solche Argumentationsweise
lässt nebenbei bemerkt allerdings außer Betracht und verschweigt, dass,
sobald eines der in einem derartigen Passwortmanager gespeicherten
Geheimnisse auf andere Weise ausspioniert werden kann, es nun sehr wohl
versucht werden kann, alle anderen in ihm aufbewahrten Daten über einen
brute-Force Angriff ebenfalls aufzudecken. Das ausspionierte Passwort dient
dann einfach als Referenz und Hinweis, wann zufälligerweise das richtige
Master-Passwort eingegeben wurde.
Offensichtlich werden derartige Passwortmanager trotz des Bestehens der oben
beschriebenen Angriffsmöglicheit, welche ja Prinzip bedingt, also
unausweichlich ist, allgemein noch immer als hinreichend sicher betrachtet,
um in Ihnen streng vertrauliche Geheimnisse wie Passwörter aufzubewahren.
Ob eine solche Vorgehensweise sinnvoll bzw. verantwortbar ist oder nicht,
mag nun dahingestellt sein. Im Fall des Mobilsitters allerdings verschärft
sich diese Möglichkeit zu Brute-Force Angriffen noch beträchtlich, weil mit
ihm unter Anderem auch TAN-Listen verwaltet werden können.
Transaktionsnummern aber werden bekanntlich nach ihrem Einsatz nicht mehr
geheim gehalten, sondern sogar zu Dokumentations- und Verwaltungszwecken
weiter verwendet. Um auf die oben beschriebene Weise einen Brute-force
Angriff durchführen zu können, muss also beim Mobilesitter nicht einmal
eine in ihm gespeicherte, allgemein geheim gehaltene Information, nämlich
ein Passwort, ausspioniert werden. Es reicht schon aus, sich Einblick in
verhältnismäßig öffentlich gemachte Daten, nämlich verbrauchte TAN,
verschaffen zu können.

Herr Ruben Wolf (Mitglied des Mobilesitter-Teams) stellte bei einem
Telefonat Montag, den 07. Juli 2008 gegenüber mir die oben beschriebene
Sicherheitslücke als nicht so bedeutsam dar. Der Mobilesitter sei so
programmiert, dass er auch einmal richtige Daten im Rahmen der erwarteten
statistischen Wahrscheinlichkeit wiedergebe, wenn falsche Master-Passwörter
eingegeben werden.
Vermutlich verhält sich der Mobilsitter wirklich so wie von Herrn Wolf
dargestellt, aber mit einer Trefferwahrscheinlichkeit von 1 zu einer
Million pro ausspionierter TAN ist der oben beschriebene Angriffsweg sicher
besser geeignet Unsicherheit in Bezug auf das Masster-Passwort zu
vermindern als z.B. die durch das Frauenhofer Institut SIT beschriebene
Angriffsmöglichkeit des ähnlich aufgebauten Passwortmanagers "Code Memo"
von Sony-Ericsson. (2; 3; 4; 5; etc.) Im Falle des beschriebenen
Angriffsszenarios auf den Code Memo wird anstatt die zu testende Hypothese
(Master-Passwort richtig) direkt zu markieren, die entsprechende
Alternativhypothese (Master-Passwort unrichtig) gekennzeichnet, wobei
besagte Kennzeichnung noch auf einen verhältnismäßig unwahrscheinlichen,
also unsicheren Weg (der versehentlichen Darstellung von Sonderzeichen, die
über die Tastatur überhaupt nicht eingebbar sind) erfolgt. Bei der
Angriffsmöglichkeit hier hingegen wird die zu testende Hypothese auf
direktem Weg hervorgehoben und noch wegen der ja schon erwähnten geringen
Fehlerwahrscheinlichkeit eine verhältnismäßig geringe Anzahl von falsch
positiven Entscheidungen. Dass über den Mobilsitter viel größere und
komplexere Passworträume für das Master-Passwort realisiert werden können
als dies bei Code Memo der Fall ist, ist meiner Meinung nach in diesem
Zusammenhang unerheblich. Ein Brute-force, bzw wörtebuch- Angriff
funktioniert hier sowieso nur bei der Verwendung verhältnismäßig schwacher
Master-Passwörter, und dass dies überaus häufig zuzutreffen scheint, zeigt
schon der Umstand, wieviel Mühe und Sorgfalt beim Mobilsitter verwandt
worden ist, besagten Tüuschungsmechanismus zu implementieren.
Als mögliche weitere Entscheidungskriterien , welche zur Verifizierung des
Master-Passwortes noch hinzugenommen werden könnten, kommen mir z.B. in den
Sinn:
1. Einfach , sobald die ausspionierte TAN mit dem entsprechendem Wert im
Mobilesitter übereinstimmt, andere im Mobilesitter gespeicherte Passwörter
an entsprechend, geeigneten Zugängen, also z.B. an einem Account in einem
Internetshop. zu testen.
2. Oder der Weg, den ich als eine mehr mathematische-statistische Lösung
bezeichnen möchte: Wenn es möglich ist, von einer, einzigen verbrauchte TAN
unbefugt Kenntnis zu erhalten, dürfte es doch nicht so schwierig sein, noch
eine zweite, weitere TAN unter Umständen auf dem selben Weg
auszuspionieren. Dann ließe sich zu testende Hypothese mit einer weitaus
kleineren Fehlerwahrscheinlichkeit kennzeichnen als der, mit welcher man im
Lotto sechs Richtige tippen könnte.
3. Eine mehr als psychologisch-korrelativ zu bezeichnende Variante könnte
bei der Hinzunahme weiterer Entscheidungskriterien z.B. sein: Es wurde
schon darauf hingewiesen, dass das gesamte hier vorgestellte
Angriffsszenario meist nur erfolgsversprechend sein kann, wenn bei der
Auswahl des Master-Passwortes ein hochriskantes Verhaltensmuster, nämlich
die Verwendung schwacher Passwörter, zur Anwendung kommt. Für eine
derartige Vorgehensweise ist nun unter Anderem kennzeichnend, dass als
Passwörter meist sinnhafte Buchstabenkombinationen, also im Klartext
normale Wörter, ausgewählt werden. Wörter kann der Mobilesitter natürlich
nicht bei Eingabe eines falschen Master-Passwortes wieder in sinnhafte
Buchstabenskombinationen umsetzen. Denn dass er z.B. die (zugegebenermaßen
schlechte) Passphrase "Mary hat ein kleines Lamm." bei Eingabe eine
falschen Masterpasswortes in unter Umständen "Walter hat einen Bernhardiner
geküsst." umwandelt, kann ich trotz meines ungebrochenen Vertrauens in die
Fortschritte der KI-Technik beim besten Willen nicht glauben. Wenn man
aber, um Erfolg zu haben, davon ausgehen muss, dass bezüglich der
Zugangsberechtigung "Master-Passwort Mobilesitter" sinnhafte
Buchstabenkombinationen zum Einsatz gekommen sind, ist es doch ebenfalls
recht wahrscheinlich, dass auch andere Daten von Zugangsberechtigungen über
normale Wörter gebildet wurden. Wenn sich jetzt die ausspionierte TAN mit
der vom Mobilesitter generierten TAN deckt, könnte man durch Vergleich, ob
sich in diesem Fall irgendwo in den gespeicherten Passwörtern des
Mobilesitters sinnhafte Buchstabenkombinationen finden lassen, die
Trefferwahrscheinlichkeit dafür, dass wirklich das richtige Master-Passwort
eingegeben wurde, noch weiter eingrenzen.

(1)
http://www.heise.de/security/foren/S-Angriffsmoeglichkeit-des-Passwortmanagers-Mobilesitter/forum.../
(2)
http://www.sit.fraunhofer.de/pressedownloads/pressemitteilungen/20070925Pressemitteilung...
(3) http://mobilesitter.de/downloads/security-codememo.pdf
(4)
http://www.heise.de/newsticker/Schwachstelle-in-Sony-Ericssons-Passwortprogramm-...
(5)
http://www.connect.de/news/Sony-Ericsson-Passwortsoftware-unsicher_210418.html