Outlook: Gespeicherte Kennwörter lassen sich sehr einfach auslesen
Borncity schreibt, verwenden Microsofts Outlook-Entwickler die Windows-Registry, um Passwörter für den Zugriff auf IMAP-Konten abzulegen. Dabei werden die Kennwörter nicht im Klartext gespeichert, sondern zunächst mithilfe der Data-Protection-API (DPAPI) verschlüsselt. Bei der DPAPI handelt es sich um eine mit Windows 2000 in das Betriebssystem integrierte Schnittstelle, die Daten symmetrisch verschlüsseln kann. Die API wird häufig verwendet, um asymmetrische Schlüssel aufzubewahren. Der Hauptschlüssel wird aus dem Passwort des Nutzers abgeleitet und steht so im eingeloggten Zustand zur Verfügung.
Da die Windows-Registry mit keinem besonderen Zugriffsschutz ausgestattet ist, kann jedes beliebige Programm auf die Einträge zugreifen, nachdem der Nutzer sich angemeldet hat und die entsprechende Anwendung ausgeführt wurde. Die Verschlüsselung mit der DPAPI bringt keinen nennenswerten Vorteil mit sich. Ein Aufruf der Funktion "CryptUnprotectData()" reicht aus, um den Inhalt zu entschlüsseln und im Klartext zurückzugeben. Hiermit kann eine bösartige App das Mail-Passwort herausfinden und anschließend weiterleiten.
Siehe auch:
Wie Weiteres Verschlüsselungs-Problem in Office 365 entdeckt
Erst vor wenigen Tagen wurde ein weiteres Verschlüsselungs-Problem in Zusammenhang mit Office 365 bekannt. Die Microsoft Office 365 Message Encryption (OME) nutzt ein Verfahren, welches unter Umständen Attacken zulässt. Durch die Blockchiffre Electronic Codebook (ECB) können Angreifer strukturelle Informationen über eine Nachricht herausfinden. Obwohl einzelne E-Mails sicher verschlüsselt sind, haben Hacker mit einem abgefangenen Archiv die Möglichkeit, den Algorithmus statistisch anzugreifen. Die Schwachstelle betrifft alle Verfahren im ECB-Modus. Entwickler sollten Cipher Block Chaining (CBC) verwenden.Siehe auch:
- Microsoft hat ein Problem: Verschlüsselung in Office 365 nicht sicher
- Plex: Unbekannte erbeuten Namen, Mails und verschlüsselte Passwörter
- Messenger-Diensten drohen harte Strafen für gute Verschlüsselung
- Mega: Verschlüsselungs-Versprechen fällt wie ein Kartenhaus zusammen
- Signal: Krypto-Integration gefährdet Ende-zu-Ende-Verschlüsselung
Thema:
Neueste Downloads
Jetzt als Amazon Blitzangebot
Ab 06:35 Uhr YV 520mb/s USB Sticks
Original Amazon-Preis
39,99 €
Blitzangebot-Preis
31,99 €
Ersparnis zu Amazon 20% oder 8 €
Beliebt im Preisvergleich
- Office:
Neue Nachrichten
Beliebte Nachrichten
Videos
Meist kommentierte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen