Abo
  • Services:
Anzeige
Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht.
Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht. (Bild: Screenshot)

NQ Vault: Verschlüsselungstool verschlüsselt nicht

Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht.
Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht. (Bild: Screenshot)

Ein vermeintliches Verschlüsselungstool für Smartphones namens NQ Vault verschlüsselt offenbar seine Daten überhaupt nicht. Doch damit nicht genug: Es erstellt auch ungefragt Fotos des Nutzers.

Anzeige

"Ein sicherer Ort um Ihre privaten Daten zu speichern" - mit diesem vollmundigen Versprechen wird die App NQ Vault auf ihrer Webseite beworben. Verfügbar ist das Tool für iPhones und Android-Smartphones. Laut Selbstbeschreibung handelt es sich um ein Tool, mit dem Nutzer Daten wie beispielsweise Bilder oder Messages verschlüsselt abspeichern können. Doch ein sicherer Ort für Daten ist das Tool absolut nicht.

Nur die ersten 128 Bytes nicht direkt lesbar

Ein Softwareentwickler mit dem Nickname Ninjadodge24 hat sich das Tool näher angesehen. Er hat dafür eine simple PNG-Datei erstellt und eine kleine Zeichenkette angehängt. Überraschend stellte sich heraus, dass in der lokalen Datenbank der App die Zeichenkette unverschlüsselt lesbar war. Nur die ersten 128 Bytes der PNG-Datei waren nicht direkt lesbar, alles andere dahinter war komplett unverschlüsselt.

Doch selbst die ersten 128 Bytes der Datei waren nicht verschlüsselt. Es handelt sich lediglich um durch eine sogenannte XOR-Operation unkenntlich gemachte Daten. Dabei wird jedes Byte mit einer identischen Zahl XOR-verknüpft, die offenbar aus dem Passwort generiert wird. Ninjadodge24 hat ein Tool zum Decodieren der Daten und ein simples Skript, mit dem sich der XOR-Schlüssel finden lässt, bereitgestellt.

App fotografiert Nutzer

Wir haben uns die Android-Version von NQ Vault angesehen und konnten die "Entschlüsselung" von Dateien mittels XOR wie beschrieben nachvollziehen. Bei der Analyse fiel uns aber eine weitere Ungereimtheit auf: In einem Ordner des Programms befand sich ein Bild, das den Nutzer der App zeigte. Dasselbe Bild fanden wir nochmals - mit der oben beschriebenen XOR-"Verschlüsselung" - in einem weiteren Ordner.

NQ Vault erstellt ungefragt beim Konfigurieren des initialen Passworts ein Foto des Nutzers. Dabei ertönt zwar der bekannte Kamera-Klickton von Android, allerdings fällt das kaum auf - man denkt zunächst, dass es sich lediglich um die Bestätigung des Passworts handelt.

Die Erstellung des Fotos ist offenbar Teil eines Features von NQ Fault, das eigentlich nur aktiviert werden sollte, wenn ein unberechtigter Nutzer ein falsches Passwort eingibt. Dieses Feature ist allerdings nur in der kostenpflichtigen Version von NQ Fault aktiviert. Dass die App auch von legitimen Nutzern in der kostenlosen Version Fotos erstellt, ist nicht dokumentiert, man kann es aber feststellen, indem man in den Einstellungen den Punkt "Break-in Attempts" aufruft. Dort findet man das ungefragt erstellte Foto als Beispiel für das kostenpflichtige Feature.

Aufgrund dieses Verhaltens hatten wir ebenfalls untersucht, welche Daten das Programm an den Server des Herstellers schickt. Die Datenübertragung erfolgt HTTPS-verschlüsselt, aber mit dem Tool mitmproxy und einem lokal importierten Zertifikat waren wir in der Lage, den verschlüsselten Netzwerkverkehr mitzulesen. Eine kleine Entwarnung können wir geben: Das ungefragt erstellte Foto wird nicht übertragen. Dafür jedoch einige Daten über das Telefon, etwa die Modellbezeichnung und die verwendete Android-Version.

Zertifikat bescheinigt Privatsphäre

Die Firma hinter dem Tool namens NQ Mobile ist nach eigenen Angaben seit zehn Jahren aktiv und hat Büros in Texas und Peking. Auf der Webseite wird behauptet, dass NQ Mobile diverse Partnerschaften mit bekannten Herstellern von Mobiltelefonen hat, darunter HTC, Blackberry, Samsung, Nokia und Motorola. Beworben wird die App weiterhin damit, dass sie von der kalifornischen Firma Truste ein Siegel erhalten hat, das den Apps der Firma einen hohen Datenschutzstandard bescheinigt. Zum Zeitpunkt unserer Recherchen war die App weiterhin im Google Play Store und in Apples App Store verfügbar.

NQ Vault ist sicher ein Extremfall, aber der Vorfall macht eines deutlich: Es existiert zurzeit eine große Zahl von Verschlüsselungs-Apps, viele davon sind jedoch alles andere als seriös. Nutzer sollten generell nur solchen Apps vertrauen, deren Verschlüsselungsverfahren auf der jeweiligen Webseite ausführlich dokumentiert sind. Auch ist generell davon auszugehen, dass Apps, an deren Entwicklung keine Kryptographie-Experten beteiligt waren und die von niemandem mit Fachwissen unabhängig überprüft worden sind, nicht vertrauenswürdig sind.


eye home zur Startseite
Lala Satalin... 14. Apr 2015

Einer? XD

knobi 12. Apr 2015

Ich denke nicht, dass das Problem, welches hier vorliegt, etwas mit der Ausbildung des...

widar23 12. Apr 2015

Das ist doch zu erwarten. Es ist doch der Sinn der Sache, dass Apps die Systemzertifikate...

shyps 10. Apr 2015

"3-15 digits" steht dort beim passwortfeld also es hat den usern passwörter erlaubt, die...

SoniX 10. Apr 2015

Stimmt. Und gerade bei Sachen wie Verschlüsselung sollte man stutzig werden wenns was...



Anzeige

Stellenmarkt
  1. Zühlke Engineering GmbH, Hamburg, Eschborn bei Frankfurt am Main
  2. Bayerisches Landesamt für Gesundheit und Lebensmittelsicherheit, Bad Kissingen
  3. JOB AG Industrial Service GmbH, Hannover (Home-Office)
  4. spectrumK GmbH, Berlin


Anzeige
Blu-ray-Angebote
  1. 12,85€ + 5€ FSK18-Versand
  2. 49,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Sparc M8

    Oracles neuer Chip ist 40 Prozent schneller

  2. Cloud

    IBM bringt die Datenmigration im 120-Terabyte-Koffer

  3. Fire HD 10

    Amazon bringt 10-Zoll-Full-HD-Tablet mit Alexa für 160 Euro

  4. Watson

    IBMs Supercomputer stellt sich dumm an

  5. Techbold

    Mining-Komplett-PCs mit bis zu 256 MH/s

  6. Aquaris-V- und U2-Reihe

    BQ stellt neue Smartphones ab 180 Euro vor

  7. Landkreis Südwestpfalz

    Telekom baut FTTH für Gewerbe und Vectoring für Haushalte

  8. Microsoft

    Gute Store-Apps sollen besseren Marketingstatus erhalten

  9. Zukunft des Autos

    "Unsere Elektrofahrzeuge sollen typische Porsche sein"

  10. PC-Wahl

    CCC patcht Wahlsoftware selbst



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  2. Kreditrating Equifax' Krisenreaktion ist ein Desaster
  3. Best Buy US-Handelskette verbannt Kaspersky-Software aus Regalen

Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe
  2. Anki Cozmo ausprobiert Niedlicher Programmieren lernen und spielen

Indiegames-Rundschau: Cyberpunk, Knetmännchen und Kampfsportkünstler
Indiegames-Rundschau
Cyberpunk, Knetmännchen und Kampfsportkünstler
  1. Indiegames-Rundschau Fantasysport, Burgbelagerungen und ein amorpher Blob
  2. Indiegames-Rundschau Meisterdiebe, Anti- und Arcadehelden
  3. Jump So was wie Netflix für Indiegames

  1. Re: Mit Sensor erkennen ob Stecker drin steckt?!

    Elgareth | 15:42

  2. Re: Cloud! Docker! KI! VR!!!

    derdiedas | 15:40

  3. Re: Skynet

    TobiVH | 15:40

  4. Re: Siemens hat eine gute Lösung in Parkhäusern

    Elgareth | 15:39

  5. Fire HD 10: Ganz schön teuer

    hackgrid | 15:39


  1. 15:21

  2. 15:12

  3. 15:00

  4. 14:00

  5. 13:59

  6. 13:20

  7. 13:10

  8. 12:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel