Abo
  • Services:

NQ Vault: Verschlüsselungstool verschlüsselt nicht

Ein vermeintliches Verschlüsselungstool für Smartphones namens NQ Vault verschlüsselt offenbar seine Daten überhaupt nicht. Doch damit nicht genug: Es erstellt auch ungefragt Fotos des Nutzers.

Artikel veröffentlicht am , Hanno Böck
Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht.
Passwort-Eingabe von NQ Vault - Sicherheit bietet die App nicht. (Bild: Screenshot)

"Ein sicherer Ort um Ihre privaten Daten zu speichern" - mit diesem vollmundigen Versprechen wird die App NQ Vault auf ihrer Webseite beworben. Verfügbar ist das Tool für iPhones und Android-Smartphones. Laut Selbstbeschreibung handelt es sich um ein Tool, mit dem Nutzer Daten wie beispielsweise Bilder oder Messages verschlüsselt abspeichern können. Doch ein sicherer Ort für Daten ist das Tool absolut nicht.

Nur die ersten 128 Bytes nicht direkt lesbar

Stellenmarkt
  1. Abel Mobilfunk GmbH & Co.KG, Engelsberg, Rödermark
  2. Robert Bosch GmbH, Leonberg

Ein Softwareentwickler mit dem Nickname Ninjadodge24 hat sich das Tool näher angesehen. Er hat dafür eine simple PNG-Datei erstellt und eine kleine Zeichenkette angehängt. Überraschend stellte sich heraus, dass in der lokalen Datenbank der App die Zeichenkette unverschlüsselt lesbar war. Nur die ersten 128 Bytes der PNG-Datei waren nicht direkt lesbar, alles andere dahinter war komplett unverschlüsselt.

Doch selbst die ersten 128 Bytes der Datei waren nicht verschlüsselt. Es handelt sich lediglich um durch eine sogenannte XOR-Operation unkenntlich gemachte Daten. Dabei wird jedes Byte mit einer identischen Zahl XOR-verknüpft, die offenbar aus dem Passwort generiert wird. Ninjadodge24 hat ein Tool zum Decodieren der Daten und ein simples Skript, mit dem sich der XOR-Schlüssel finden lässt, bereitgestellt.

App fotografiert Nutzer

Wir haben uns die Android-Version von NQ Vault angesehen und konnten die "Entschlüsselung" von Dateien mittels XOR wie beschrieben nachvollziehen. Bei der Analyse fiel uns aber eine weitere Ungereimtheit auf: In einem Ordner des Programms befand sich ein Bild, das den Nutzer der App zeigte. Dasselbe Bild fanden wir nochmals - mit der oben beschriebenen XOR-"Verschlüsselung" - in einem weiteren Ordner.

NQ Vault erstellt ungefragt beim Konfigurieren des initialen Passworts ein Foto des Nutzers. Dabei ertönt zwar der bekannte Kamera-Klickton von Android, allerdings fällt das kaum auf - man denkt zunächst, dass es sich lediglich um die Bestätigung des Passworts handelt.

Die Erstellung des Fotos ist offenbar Teil eines Features von NQ Fault, das eigentlich nur aktiviert werden sollte, wenn ein unberechtigter Nutzer ein falsches Passwort eingibt. Dieses Feature ist allerdings nur in der kostenpflichtigen Version von NQ Fault aktiviert. Dass die App auch von legitimen Nutzern in der kostenlosen Version Fotos erstellt, ist nicht dokumentiert, man kann es aber feststellen, indem man in den Einstellungen den Punkt "Break-in Attempts" aufruft. Dort findet man das ungefragt erstellte Foto als Beispiel für das kostenpflichtige Feature.

Aufgrund dieses Verhaltens hatten wir ebenfalls untersucht, welche Daten das Programm an den Server des Herstellers schickt. Die Datenübertragung erfolgt HTTPS-verschlüsselt, aber mit dem Tool mitmproxy und einem lokal importierten Zertifikat waren wir in der Lage, den verschlüsselten Netzwerkverkehr mitzulesen. Eine kleine Entwarnung können wir geben: Das ungefragt erstellte Foto wird nicht übertragen. Dafür jedoch einige Daten über das Telefon, etwa die Modellbezeichnung und die verwendete Android-Version.

Zertifikat bescheinigt Privatsphäre

Die Firma hinter dem Tool namens NQ Mobile ist nach eigenen Angaben seit zehn Jahren aktiv und hat Büros in Texas und Peking. Auf der Webseite wird behauptet, dass NQ Mobile diverse Partnerschaften mit bekannten Herstellern von Mobiltelefonen hat, darunter HTC, Blackberry, Samsung, Nokia und Motorola. Beworben wird die App weiterhin damit, dass sie von der kalifornischen Firma Truste ein Siegel erhalten hat, das den Apps der Firma einen hohen Datenschutzstandard bescheinigt. Zum Zeitpunkt unserer Recherchen war die App weiterhin im Google Play Store und in Apples App Store verfügbar.

NQ Vault ist sicher ein Extremfall, aber der Vorfall macht eines deutlich: Es existiert zurzeit eine große Zahl von Verschlüsselungs-Apps, viele davon sind jedoch alles andere als seriös. Nutzer sollten generell nur solchen Apps vertrauen, deren Verschlüsselungsverfahren auf der jeweiligen Webseite ausführlich dokumentiert sind. Auch ist generell davon auszugehen, dass Apps, an deren Entwicklung keine Kryptographie-Experten beteiligt waren und die von niemandem mit Fachwissen unabhängig überprüft worden sind, nicht vertrauenswürdig sind.



Anzeige
Hardware-Angebote
  1. jetzt bei Apple.de bestellbar

Lala Satalin... 14. Apr 2015

Einer? XD

knobi 12. Apr 2015

Ich denke nicht, dass das Problem, welches hier vorliegt, etwas mit der Ausbildung des...

widar23 12. Apr 2015

Das ist doch zu erwarten. Es ist doch der Sinn der Sache, dass Apps die Systemzertifikate...

shyps 10. Apr 2015

"3-15 digits" steht dort beim passwortfeld also es hat den usern passwörter erlaubt, die...

SoniX 10. Apr 2015

Stimmt. Und gerade bei Sachen wie Verschlüsselung sollte man stutzig werden wenns was...


Folgen Sie uns
       


Huawei P20 Pro - Hands on

Huaweis neues Smartphone P20 Pro kommt mit drei Hauptkameras und einer Reihe von KI-Funktionen. Wir haben uns das Gerät in einem ersten Hands on angeschaut.

Huawei P20 Pro - Hands on Video aufrufen
Razer Nommo Chroma im Test: Blinkt viel, klingt weniger
Razer Nommo Chroma im Test
Blinkt viel, klingt weniger

Wenn die Razer Nommo Chroma eines sind, dann auffällig. Dafür sorgen die ungewöhnliche Form und die LED-Ringe, die sich beliebig konfigurieren lassen. Die Lautsprecher sind aber eher ein Hingucker als ein Hinhörer.
Ein Test von Oliver Nickel

  1. Razer Kiyo und Seiren X im Test Nicht professionell, aber schnell im Einsatz
  2. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  3. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet

P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

HP Z2 Mini Workstation G3 im Test: Leises Rauschen hinterm Monitor
HP Z2 Mini Workstation G3 im Test
Leises Rauschen hinterm Monitor

Unterm Tisch, auf dem Tisch oder hinter den Bildschirm geklemmt: HPs Z2 Mini Workstation ist ein potentes, wenn auch nicht gerade sehr preiswertes Komplettsystem. Den Preis ist der PC aber wert, denn er ist leise, modular und kann einfach gewartet werden. Der Admin dankt!
Ein Test von Oliver Nickel

  1. HP Pavilion Gaming Hardware für Gamer, die sich Omen nicht leisten wollen
  2. Chromebook x2 HP präsentiert Chrome-OS-Detachable mit Stift
  3. Laserjet Pro M15w und M28w HPs Laserdrucker schrumpfen auf 34 Zentimeter Länge

    •  /