Abo
  • Services:
Anzeige
Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht.
Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht. (Bild: Screenshot)

NQ Vault: Verschlüsselungstool verschlüsselt nicht

Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht.
Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht. (Bild: Screenshot)

Ein vermeintliches Verschlüsselungstool für Smartphones namens NQ Vault verschlüsselt offenbar seine Daten überhaupt nicht. Doch damit nicht genug: Es erstellt auch ungefragt Fotos des Nutzers.

Anzeige

"Ein sicherer Ort um Ihre privaten Daten zu speichern" - mit diesem vollmundigen Versprechen wird die App NQ Vault auf ihrer Webseite beworben. Verfügbar ist das Tool für iPhones und Android-Smartphones. Laut Selbstbeschreibung handelt es sich um ein Tool, mit dem Nutzer Daten wie beispielsweise Bilder oder Messages verschlüsselt abspeichern können. Doch ein sicherer Ort für Daten ist das Tool absolut nicht.

Nur die ersten 128 Bytes nicht direkt lesbar

Ein Softwareentwickler mit dem Nickname Ninjadodge24 hat sich das Tool näher angesehen. Er hat dafür eine simple PNG-Datei erstellt und eine kleine Zeichenkette angehängt. Überraschend stellte sich heraus, dass in der lokalen Datenbank der App die Zeichenkette unverschlüsselt lesbar war. Nur die ersten 128 Bytes der PNG-Datei waren nicht direkt lesbar, alles andere dahinter war komplett unverschlüsselt.

Doch selbst die ersten 128 Bytes der Datei waren nicht verschlüsselt. Es handelt sich lediglich um durch eine sogenannte XOR-Operation unkenntlich gemachte Daten. Dabei wird jedes Byte mit einer identischen Zahl XOR-verknüpft, die offenbar aus dem Passwort generiert wird. Ninjadodge24 hat ein Tool zum Decodieren der Daten und ein simples Skript, mit dem sich der XOR-Schlüssel finden lässt, bereitgestellt.

App fotografiert Nutzer

Wir haben uns die Android-Version von NQ Vault angesehen und konnten die "Entschlüsselung" von Dateien mittels XOR wie beschrieben nachvollziehen. Bei der Analyse fiel uns aber eine weitere Ungereimtheit auf: In einem Ordner des Programms befand sich ein Bild, das den Nutzer der App zeigte. Dasselbe Bild fanden wir nochmals - mit der oben beschriebenen XOR-"Verschlüsselung" - in einem weiteren Ordner.

NQ Vault erstellt ungefragt beim Konfigurieren des initialen Passworts ein Foto des Nutzers. Dabei ertönt zwar der bekannte Kamera-Klickton von Android, allerdings fällt das kaum auf - man denkt zunächst, dass es sich lediglich um die Bestätigung des Passworts handelt.

Die Erstellung des Fotos ist offenbar Teil eines Features von NQ Fault, das eigentlich nur aktiviert werden sollte, wenn ein unberechtigter Nutzer ein falsches Passwort eingibt. Dieses Feature ist allerdings nur in der kostenpflichtigen Version von NQ Fault aktiviert. Dass die App auch von legitimen Nutzern in der kostenlosen Version Fotos erstellt, ist nicht dokumentiert, man kann es aber feststellen, indem man in den Einstellungen den Punkt "Break-in Attempts" aufruft. Dort findet man das ungefragt erstellte Foto als Beispiel für das kostenpflichtige Feature.

Aufgrund dieses Verhaltens hatten wir ebenfalls untersucht, welche Daten das Programm an den Server des Herstellers schickt. Die Datenübertragung erfolgt HTTPS-verschlüsselt, aber mit dem Tool mitmproxy und einem lokal importierten Zertifikat waren wir in der Lage, den verschlüsselten Netzwerkverkehr mitzulesen. Eine kleine Entwarnung können wir geben: Das ungefragt erstellte Foto wird nicht übertragen. Dafür jedoch einige Daten über das Telefon, etwa die Modellbezeichnung und die verwendete Android-Version.

Zertifikat bescheinigt Privatsphäre

Die Firma hinter dem Tool namens NQ Mobile ist nach eigenen Angaben seit zehn Jahren aktiv und hat Büros in Texas und Peking. Auf der Webseite wird behauptet, dass NQ Mobile diverse Partnerschaften mit bekannten Herstellern von Mobiltelefonen hat, darunter HTC, Blackberry, Samsung, Nokia und Motorola. Beworben wird die App weiterhin damit, dass sie von der kalifornischen Firma Truste ein Siegel erhalten hat, das den Apps der Firma einen hohen Datenschutzstandard bescheinigt. Zum Zeitpunkt unserer Recherchen war die App weiterhin im Google Play Store und in Apples App Store verfügbar.

NQ Vault ist sicher ein Extremfall, aber der Vorfall macht eines deutlich: Es existiert zurzeit eine große Zahl von Verschlüsselungs-Apps, viele davon sind jedoch alles andere als seriös. Nutzer sollten generell nur solchen Apps vertrauen, deren Verschlüsselungsverfahren auf der jeweiligen Webseite ausführlich dokumentiert sind. Auch ist generell davon auszugehen, dass Apps, an deren Entwicklung keine Kryptographie-Experten beteiligt waren und die von niemandem mit Fachwissen unabhängig überprüft worden sind, nicht vertrauenswürdig sind.


eye home zur Startseite
Lala Satalin... 14. Apr 2015

Einer? XD

knobi 12. Apr 2015

Ich denke nicht, dass das Problem, welches hier vorliegt, etwas mit der Ausbildung des...

widar23 12. Apr 2015

Das ist doch zu erwarten. Es ist doch der Sinn der Sache, dass Apps die Systemzertifikate...

shyps 10. Apr 2015

"3-15 digits" steht dort beim passwortfeld also es hat den usern passwörter erlaubt, die...

SoniX 10. Apr 2015

Stimmt. Und gerade bei Sachen wie Verschlüsselung sollte man stutzig werden wenns was...



Anzeige

Stellenmarkt
  1. Heraeus infosystems GmbH, Hanau
  2. Home Shopping Europe GmbH, Ismaning Raum München
  3. ASTERION Germany GmbH, Viernheim/Rüsselsheim
  4. über Duerenhoff GmbH, Raum Offenbach


Anzeige
Spiele-Angebote
  1. 10,99€
  2. 25,99€
  3. 15,99€

Folgen Sie uns
       


  1. Staingate

    Austauschprogramm für fleckige Macbooks wird verlängert

  2. Digitale Infrastruktur

    Ralph Dommermuth kritisiert deutsche Netzpolitik

  3. Elektroauto

    VW will weitere Milliarden in Elektromobilität investieren

  4. Elektroauto

    Walmart will den Tesla-Truck

  5. Die Woche im Video

    Ausgefuchst, abgezockt und abgefahren

  6. Siri-Lautsprecher

    Apple versemmelt den Homepod-Start

  7. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei

  8. Übernahme

    Vivendi lässt Ubisoft ein halbes Jahr in Ruhe

  9. Boston Dynamics

    Humanoider Roboter Atlas macht Salto rückwärts

  10. Projekthoster

    Github zeigt Sicherheitswarnungen für Projektabhängigkeiten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Librem 5 Das freie Linux-Smartphone ist finanziert
  3. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Cubesats: Startup steuert riesigen Satellitenschwarm von Berlin aus
Cubesats
Startup steuert riesigen Satellitenschwarm von Berlin aus
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. SAEx Internet-Seekabel für Südatlantikinsel St. Helena
  3. Sputnik Piep, piep, kleiner Satellit

  1. "Filmreif" ist KEIN Gütesiegel

    Juge | 00:18

  2. Re: So viel zu der Behauptung, VW sei E- und...

    Hegakalle | 00:17

  3. Re: 1 Atomkraftwerk = xxx Trucks --- Alle...

    henryanki | 00:07

  4. Re: Der Akku wird zu schnell geladen

    Ach | 00:06

  5. Re: Sich an die eigene Nase zu fassen...

    misfit | 18.11. 23:57


  1. 17:14

  2. 13:36

  3. 12:22

  4. 10:48

  5. 09:02

  6. 19:05

  7. 17:08

  8. 16:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel