Abo
  • Services:
Anzeige
Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht.
Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht. (Bild: Screenshot)

NQ Vault: Verschlüsselungstool verschlüsselt nicht

Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht.
Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht. (Bild: Screenshot)

Ein vermeintliches Verschlüsselungstool für Smartphones namens NQ Vault verschlüsselt offenbar seine Daten überhaupt nicht. Doch damit nicht genug: Es erstellt auch ungefragt Fotos des Nutzers.

Anzeige

"Ein sicherer Ort um Ihre privaten Daten zu speichern" - mit diesem vollmundigen Versprechen wird die App NQ Vault auf ihrer Webseite beworben. Verfügbar ist das Tool für iPhones und Android-Smartphones. Laut Selbstbeschreibung handelt es sich um ein Tool, mit dem Nutzer Daten wie beispielsweise Bilder oder Messages verschlüsselt abspeichern können. Doch ein sicherer Ort für Daten ist das Tool absolut nicht.

Nur die ersten 128 Bytes nicht direkt lesbar

Ein Softwareentwickler mit dem Nickname Ninjadodge24 hat sich das Tool näher angesehen. Er hat dafür eine simple PNG-Datei erstellt und eine kleine Zeichenkette angehängt. Überraschend stellte sich heraus, dass in der lokalen Datenbank der App die Zeichenkette unverschlüsselt lesbar war. Nur die ersten 128 Bytes der PNG-Datei waren nicht direkt lesbar, alles andere dahinter war komplett unverschlüsselt.

Doch selbst die ersten 128 Bytes der Datei waren nicht verschlüsselt. Es handelt sich lediglich um durch eine sogenannte XOR-Operation unkenntlich gemachte Daten. Dabei wird jedes Byte mit einer identischen Zahl XOR-verknüpft, die offenbar aus dem Passwort generiert wird. Ninjadodge24 hat ein Tool zum Decodieren der Daten und ein simples Skript, mit dem sich der XOR-Schlüssel finden lässt, bereitgestellt.

App fotografiert Nutzer

Wir haben uns die Android-Version von NQ Vault angesehen und konnten die "Entschlüsselung" von Dateien mittels XOR wie beschrieben nachvollziehen. Bei der Analyse fiel uns aber eine weitere Ungereimtheit auf: In einem Ordner des Programms befand sich ein Bild, das den Nutzer der App zeigte. Dasselbe Bild fanden wir nochmals - mit der oben beschriebenen XOR-"Verschlüsselung" - in einem weiteren Ordner.

NQ Vault erstellt ungefragt beim Konfigurieren des initialen Passworts ein Foto des Nutzers. Dabei ertönt zwar der bekannte Kamera-Klickton von Android, allerdings fällt das kaum auf - man denkt zunächst, dass es sich lediglich um die Bestätigung des Passworts handelt.

Die Erstellung des Fotos ist offenbar Teil eines Features von NQ Fault, das eigentlich nur aktiviert werden sollte, wenn ein unberechtigter Nutzer ein falsches Passwort eingibt. Dieses Feature ist allerdings nur in der kostenpflichtigen Version von NQ Fault aktiviert. Dass die App auch von legitimen Nutzern in der kostenlosen Version Fotos erstellt, ist nicht dokumentiert, man kann es aber feststellen, indem man in den Einstellungen den Punkt "Break-in Attempts" aufruft. Dort findet man das ungefragt erstellte Foto als Beispiel für das kostenpflichtige Feature.

Aufgrund dieses Verhaltens hatten wir ebenfalls untersucht, welche Daten das Programm an den Server des Herstellers schickt. Die Datenübertragung erfolgt HTTPS-verschlüsselt, aber mit dem Tool mitmproxy und einem lokal importierten Zertifikat waren wir in der Lage, den verschlüsselten Netzwerkverkehr mitzulesen. Eine kleine Entwarnung können wir geben: Das ungefragt erstellte Foto wird nicht übertragen. Dafür jedoch einige Daten über das Telefon, etwa die Modellbezeichnung und die verwendete Android-Version.

Zertifikat bescheinigt Privatsphäre

Die Firma hinter dem Tool namens NQ Mobile ist nach eigenen Angaben seit zehn Jahren aktiv und hat Büros in Texas und Peking. Auf der Webseite wird behauptet, dass NQ Mobile diverse Partnerschaften mit bekannten Herstellern von Mobiltelefonen hat, darunter HTC, Blackberry, Samsung, Nokia und Motorola. Beworben wird die App weiterhin damit, dass sie von der kalifornischen Firma Truste ein Siegel erhalten hat, das den Apps der Firma einen hohen Datenschutzstandard bescheinigt. Zum Zeitpunkt unserer Recherchen war die App weiterhin im Google Play Store und in Apples App Store verfügbar.

NQ Vault ist sicher ein Extremfall, aber der Vorfall macht eines deutlich: Es existiert zurzeit eine große Zahl von Verschlüsselungs-Apps, viele davon sind jedoch alles andere als seriös. Nutzer sollten generell nur solchen Apps vertrauen, deren Verschlüsselungsverfahren auf der jeweiligen Webseite ausführlich dokumentiert sind. Auch ist generell davon auszugehen, dass Apps, an deren Entwicklung keine Kryptographie-Experten beteiligt waren und die von niemandem mit Fachwissen unabhängig überprüft worden sind, nicht vertrauenswürdig sind.


eye home zur Startseite
Lala Satalin... 14. Apr 2015

Einer? XD

knobi 12. Apr 2015

Ich denke nicht, dass das Problem, welches hier vorliegt, etwas mit der Ausbildung des...

widar23 12. Apr 2015

Das ist doch zu erwarten. Es ist doch der Sinn der Sache, dass Apps die Systemzertifikate...

shyps 10. Apr 2015

"3-15 digits" steht dort beim passwortfeld also es hat den usern passwörter erlaubt, die...

SoniX 10. Apr 2015

Stimmt. Und gerade bei Sachen wie Verschlüsselung sollte man stutzig werden wenns was...



Anzeige

Stellenmarkt
  1. DATAGROUP Köln GmbH, Köln
  2. PDV-Systeme GmbH, Dachau
  3. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  4. Continental AG, Regensburg


Anzeige
Hardware-Angebote
  1. 174,79€ (keine Versand- und Zollkosten mit Priority Line)
  2. (reduzierte Überstände, Restposten & Co.)
  3. 17,99€ statt 29,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Ultrastar He12

    WD plant Festplatten mit bis zu 14 Terabyte

  2. LG

    Weitere Hinweise auf Aufgabe des bisherigen Modulsystems

  3. Onlinewerbung

    Forscher stoppen monatelange Malvertising-Kampagne

  4. Steep im Test

    Frei und einsam beim Bergsport

  5. Streaming

    Netflix-Nutzer wollen keine Topfilme

  6. Star Wars Rogue One VR Angespielt

    "S-Flügel in Angriffsposition!"

  7. Kaufberatung

    Die richtige CPU und Grafikkarte

  8. Android

    Google kann Größe von App-Updates weiter verringern

  9. Exilim EX-FR 110H

    Casio stellt Actionkamera für die Nacht vor

  10. Webmailer

    Mit einer Mail Code in Roundcube ausführen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  2. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  3. Pornoseite Xhamster spricht von Fake-Leak

Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

Robot Operating System: Was Bratwurst-Bot und autonome Autos gemeinsam haben
Robot Operating System
Was Bratwurst-Bot und autonome Autos gemeinsam haben
  1. Roboterarm Dobot M1 - der Industrieroboter für daheim
  2. Roboter Laundroid faltet die Wäsche
  3. Fahrbare Roboter Japanische Firmen arbeiten an Transformers

  1. Re: Schwungradgeneratoren - preiswerter und...

    pica | 15:13

  2. Solange sich wie immer am Preis/TB nichts tut...

    Fuchur | 15:10

  3. Re: Kaufmännische Argumentation

    Kondratieff | 15:10

  4. Re: Gute aktuelle Topfilme sind auch sehr selten...

    lear | 15:10

  5. Re: Kino lohnt sich nur bei IMAX-3D-Filmen...

    Dino13 | 15:09


  1. 14:43

  2. 14:20

  3. 14:07

  4. 14:00

  5. 13:10

  6. 12:25

  7. 11:59

  8. 11:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel