• IT-Karriere:
  • Services:

NQ Vault: Verschlüsselungstool verschlüsselt nicht

Ein vermeintliches Verschlüsselungstool für Smartphones namens NQ Vault verschlüsselt offenbar seine Daten überhaupt nicht. Doch damit nicht genug: Es erstellt auch ungefragt Fotos des Nutzers.

Artikel veröffentlicht am , Hanno Böck
Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht.
Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht. (Bild: Screenshot)

"Ein sicherer Ort um Ihre privaten Daten zu speichern" - mit diesem vollmundigen Versprechen wird die App NQ Vault auf ihrer Webseite beworben. Verfügbar ist das Tool für iPhones und Android-Smartphones. Laut Selbstbeschreibung handelt es sich um ein Tool, mit dem Nutzer Daten wie beispielsweise Bilder oder Messages verschlüsselt abspeichern können. Doch ein sicherer Ort für Daten ist das Tool absolut nicht.

Nur die ersten 128 Bytes nicht direkt lesbar

Stellenmarkt
  1. Dürr Systems AG, Bietigheim-Bissingen
  2. SOLCOM GmbH, Reutlingen

Ein Softwareentwickler mit dem Nickname Ninjadodge24 hat sich das Tool näher angesehen. Er hat dafür eine simple PNG-Datei erstellt und eine kleine Zeichenkette angehängt. Überraschend stellte sich heraus, dass in der lokalen Datenbank der App die Zeichenkette unverschlüsselt lesbar war. Nur die ersten 128 Bytes der PNG-Datei waren nicht direkt lesbar, alles andere dahinter war komplett unverschlüsselt.

Doch selbst die ersten 128 Bytes der Datei waren nicht verschlüsselt. Es handelt sich lediglich um durch eine sogenannte XOR-Operation unkenntlich gemachte Daten. Dabei wird jedes Byte mit einer identischen Zahl XOR-verknüpft, die offenbar aus dem Passwort generiert wird. Ninjadodge24 hat ein Tool zum Decodieren der Daten und ein simples Skript, mit dem sich der XOR-Schlüssel finden lässt, bereitgestellt.

App fotografiert Nutzer

Wir haben uns die Android-Version von NQ Vault angesehen und konnten die "Entschlüsselung" von Dateien mittels XOR wie beschrieben nachvollziehen. Bei der Analyse fiel uns aber eine weitere Ungereimtheit auf: In einem Ordner des Programms befand sich ein Bild, das den Nutzer der App zeigte. Dasselbe Bild fanden wir nochmals - mit der oben beschriebenen XOR-"Verschlüsselung" - in einem weiteren Ordner.

NQ Vault erstellt ungefragt beim Konfigurieren des initialen Passworts ein Foto des Nutzers. Dabei ertönt zwar der bekannte Kamera-Klickton von Android, allerdings fällt das kaum auf - man denkt zunächst, dass es sich lediglich um die Bestätigung des Passworts handelt.

Die Erstellung des Fotos ist offenbar Teil eines Features von NQ Fault, das eigentlich nur aktiviert werden sollte, wenn ein unberechtigter Nutzer ein falsches Passwort eingibt. Dieses Feature ist allerdings nur in der kostenpflichtigen Version von NQ Fault aktiviert. Dass die App auch von legitimen Nutzern in der kostenlosen Version Fotos erstellt, ist nicht dokumentiert, man kann es aber feststellen, indem man in den Einstellungen den Punkt "Break-in Attempts" aufruft. Dort findet man das ungefragt erstellte Foto als Beispiel für das kostenpflichtige Feature.

Aufgrund dieses Verhaltens hatten wir ebenfalls untersucht, welche Daten das Programm an den Server des Herstellers schickt. Die Datenübertragung erfolgt HTTPS-verschlüsselt, aber mit dem Tool mitmproxy und einem lokal importierten Zertifikat waren wir in der Lage, den verschlüsselten Netzwerkverkehr mitzulesen. Eine kleine Entwarnung können wir geben: Das ungefragt erstellte Foto wird nicht übertragen. Dafür jedoch einige Daten über das Telefon, etwa die Modellbezeichnung und die verwendete Android-Version.

Zertifikat bescheinigt Privatsphäre

Die Firma hinter dem Tool namens NQ Mobile ist nach eigenen Angaben seit zehn Jahren aktiv und hat Büros in Texas und Peking. Auf der Webseite wird behauptet, dass NQ Mobile diverse Partnerschaften mit bekannten Herstellern von Mobiltelefonen hat, darunter HTC, Blackberry, Samsung, Nokia und Motorola. Beworben wird die App weiterhin damit, dass sie von der kalifornischen Firma Truste ein Siegel erhalten hat, das den Apps der Firma einen hohen Datenschutzstandard bescheinigt. Zum Zeitpunkt unserer Recherchen war die App weiterhin im Google Play Store und in Apples App Store verfügbar.

NQ Vault ist sicher ein Extremfall, aber der Vorfall macht eines deutlich: Es existiert zurzeit eine große Zahl von Verschlüsselungs-Apps, viele davon sind jedoch alles andere als seriös. Nutzer sollten generell nur solchen Apps vertrauen, deren Verschlüsselungsverfahren auf der jeweiligen Webseite ausführlich dokumentiert sind. Auch ist generell davon auszugehen, dass Apps, an deren Entwicklung keine Kryptographie-Experten beteiligt waren und die von niemandem mit Fachwissen unabhängig überprüft worden sind, nicht vertrauenswürdig sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (heute Logitech G635 Lyghtsync Gaming Headset für 75,00€ statt 132,99€ im Vergleich)
  2. (aktuell u. a. Asus XG248Q LED-Monitor 389,00€ (Bestpreis!), Emtec SSD 120 GB 15,79€, Xiaomi...
  3. (u.a. Samsung Galaxy Tab A für 195,00€, Huawei MediaPad M5 Lite für 189,00€, Lenovo Tab E10...

Lala Satalin... 14. Apr 2015

Einer? XD

knobi 12. Apr 2015

Ich denke nicht, dass das Problem, welches hier vorliegt, etwas mit der Ausbildung des...

widar23 12. Apr 2015

Das ist doch zu erwarten. Es ist doch der Sinn der Sache, dass Apps die Systemzertifikate...

shyps 10. Apr 2015

"3-15 digits" steht dort beim passwortfeld also es hat den usern passwörter erlaubt, die...

SoniX 10. Apr 2015

Stimmt. Und gerade bei Sachen wie Verschlüsselung sollte man stutzig werden wenns was...


Folgen Sie uns
       


Star Wars Jedi Fallen Order angespielt

In Star Wars Jedi Fallen Order kämpft der Spieler als junger Jedi-Ritter gegen das schier übermächtige Imperium.

Star Wars Jedi Fallen Order angespielt Video aufrufen
Interview: Die Liebe für den Flight Simulator war immer da
Interview
"Die Liebe für den Flight Simulator war immer da"

Die prozedural erstellte Erde, der Quellcode vom letzten MS-Flugsimulator und eine Gemeinsamkeit mit Star Citizen: Golem.de hat mit Jörg Neumann über Technik und das Fliegen gesprochen. Neumann leitet bei Microsoft die Entwicklung des Flight Simulator.
Ein Interview von Peter Steinlechner

  1. Flug-Simulation Microsoft bereitet Alphatest des Flight Simulator vor
  2. Microsoft Neuer Flight Simulator soll Fokus auf Simulation legen

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Apple und Google Die wollen nicht nur spielen
  2. Medienbericht Twitch plant Spielestreaming ab 2020
  3. Spielestreaming Wie archiviert man Games ohne Datenträger?

Smarter Akku-Lautsprecher im Praxistest: Bose zeigt Sonos, wie es geht
Smarter Akku-Lautsprecher im Praxistest
Bose zeigt Sonos, wie es geht

Der Portable Home Speaker ist Boses erster smarter Lautsprecher mit Akkubetrieb. Aus dem kompakten Gehäuse wird ein toller Klang und eine lange Akkulaufzeit geholt. Er kann anders als der Sonos Move sinnvoll als smarter Lautsprecher verwendet werden. Ganz ohne Schwächen ist er aber nicht.
Ein Praxistest von Ingo Pakalski

  1. ANC-Kopfhörer Bose macht die Noise Cancelling Headphones 700 besser
  2. Anti-Schnarch-Kopfhörer Bose stellt Sleepbuds wegen Qualitätsmängeln ein
  3. Noise Cancelling Headphones 700 im Test Boses bester ANC-Kopfhörer sticht Sony vielfach aus

    •  /