Lücke

Sicherheitsloch im Microsoft PocketPC Betriebssystem

GSM-PIN im Klartext auf XDA und MDA gespeichert.
Von Thorsten Feles

Das aktuelle Betriebssystem von Microsoft für PDAs mit integriertem Telefon, Windows für Pocket PC 2002 Phone Edition, hat in allen uns bekannten Versionen ein erhebliches Sicherheitsproblem. Unter anderem befindet sich dieses Betriebssystem auf den von T-Mobile als "MDA" und von o2 als XDA verkauften TelefonPDAs.

Der Fehler ist, dass das Betriebssystem die jeweils zuletzt eingetippte PIN der SIM-Karte im Klartext in der Registry ablegt. Warum das passiert, ist völlig unklar. Die PIN ist immerhin die wichtigste Zugangssicherung zu einer SIM-Karte und dem dahinter stehenden Telefonvertrag des Nutzers. Wer eine SIM-Karte und die zugehörige PIN hat, kann auf Kosten des Vertragsinhabers quasi unbegrenzt telefonieren.

Der Eintrag in der Registry bleibt auch dann erhalten, wenn das Gerät in den Standy-Modus geschaltet wird. Wer ein entsprechendes Gerät verleiht, muss also damit rechnen, dass seine PIN-Nummer ausgespäht wird. Wegen der Speicherung kann ein Dieb unter Umständen auch nach Diebstahl eines ausgeschalteten MDA/XDA die PIN herausbekommen, und damit dann Anrufe auf Kosten des Bestohlenen machen.

Die PIN findet sich in Schlüssel HKEY_CURRENT_USER\ControlPanel\PhoneExtendFunction\ExtendData. Inzwischen ist im Internet ein Programm zu finden, das diesen Schlüssel ausliest und direkt anzeigt. Abhilfe ist im Moment nur mit einem anderen kleinen Tool (WipePIN) möglich, das den Schlüssel mit ???? überschreibt. Der Redaktion des Mobilfunkmagazins Funky HANDY ist das Problem schon länger bekannt, auch im Internet wurde von dem Problem schon im Dezember berichtet, bisher aber, um Zeit zum Nachbessern zu lassen, nicht veröffentlicht.

Bisher ist der Fehler von Microsoft nicht beseitigt worden. Herr Hoffmann von Microsoft erklärte zwar letzte Woche gegenüber teltarif, dass man im Laufe einer Woche eine Lösung finden wolle, doch erfolgte daraufhin keine weitere Rückmeldung. Bis dahin können Nutzer der genannten Geräte die Tools ShowPIN und WipePIN bei den XDA-Developers herunterladen. Ein Registry Editor (RegEdit [Link entfernt] ) für Pocket PC steht als Freeware bei PHM [Link entfernt] zum Download bereit.

Weitere Details und Stellungnahmen der Firmen entnehmen Sie bitte einer weiteren Meldung unter http://www.teltarif.de/s/s9880.html.