Lösung für Sicherheitsloch im xda und MDA noch nicht in Sicht

Das von teltarif veröffentlichte Sicherheitsloch in den aktuellen PocketPC PDA mit der Betriebssystemvariante Phone Edition hat in den Medien breites Echo gefunden. Bei dem beschriebenen Problem wird der Zugangscode der SIM-Karte des Telefons in der Registry des Windows PocketPC in Klartext abgelegt und kann ohne viel Aufwand ausgelesen werden. Betroffen sind alle uns bekannten Geräte des xda von o2 und des MDA, der von T-Mobile vertrieben wird. Das standardmäßige Sicherheitssystem von GSM wird dadurch ganz erheblich kompromittiert, denn das Speichern der PIN verstößt ganz klar gegen die ETSI-Zulassungsbestimmungen und müsste streng genommen zu einem erlöschen der Zulassung führen. Nach der Spezifikation GSM 02.17 Rel. 99 ist das Speichern der PIN, dort als CHV (Card Holder Verification Information) bezeichnet, einzig auf der SIM gestattet. Die PIN darf nur wärend der Datenübertragung im Gerät gespeichert werden: "They shall be deleted from the ME immediately after completion of the procedure." (Kap5.5). Die ETSI ist das Gremium, dass für die Festlegung der Mobilfunkstandards GSM und UMTS verantwortlich ist.

Erstaunlich ist, dass bisher das Problem von Seiten der Hersteller nicht angegangen wurde. Mindestens seit Dezember ist das Problem bekannt, ein Leser teilte uns sogar mit, dass schon im September das Thema in einer öffentlichen Developer Newsgroup von Microsoft behandelt worden sei. Letztere Aussage konnten wir bisher jedoch nicht verifizieren. Ein Hinderungsgrund mag auch sein, dass die Zuständigkeit für einen Fix des PIN Problems nicht ganz klar zu sein scheint. Microsoft verkauft das Betriebssystem nicht direkt und die Hardwarehersteller als Lizenznehmer können auch Änderungen vornehmen. Zudem werden weder der xda noch MDA, wie zum Beispiel der E600 von Eten [Link entfernt] , direkt vom Hersteller vertrieben. Gebaut und entwickelt werden die xda und MDA PDA bei HTC in Taiwan, vertrieben aber von T-Mobile und o2.

Irene Nadler, Pressesprecherin bei Microsoft in Deutschland, hat selber erst durch eine Anfrage von teltarif und Funky HANDY von dem Problem Kenntnis erlangt. Frau Nadler weiter: "[...] dass uns das Problem bekannt ist und dass wir zusammen mit unseren Hardware-Partnern an einer Lösung arbeiten". Philipp Schindera, Pressestelle T-Mobile, teilte uns mit, dass man mit Hochdruck am Problem arbeitet, aber auch noch keine Lösung bieten könne. Laut Heidi Miklos, Pressesprecherin von o2 Germany in München, arbeitet man auch dort an dem Problem. Demnächst soll ein Bugfix zum Download bei o2 bereit gestellt werden. Bis dahin wird betroffenen Kunden empfohlen, den Kennwortschutz des xda zu aktivieren.

Der Kennwortschutz stellt in unseren Augen jedoch nur eine recht unbefriedigende Notlösung dar, da er, wenn er wirklich greifen soll, bei jeder Aktivierung des xda aus dem Standby-Modus eingegeben werden muss. Gelöscht wird der PIN in der Registry damit auch nicht, das kann derzeit nur das Tool WipePIN automatisch. In der Registry, der Konfigurationsdatenbank des Betriebssystems, bleibt die PIN ansonsten bis zur Eingabe eines neuen unverändert stehen.