Logo

Aktuelles

Folgende Themen gibt es.

09.02.2017, 21:53

password2go bei car2go

Bei meiner Anmeldung bei car2go lief erstmal alles glatt. Die Registrierung ging schnell, der Führerschein war schnell verifiziert, so dass es nun schnell losgehen konnte.

Komisch: Die car2go-App wollte mein Kennwort nicht akzeptieren. Ich generiere meine Kennwörter mit Hilfe eines Browser-Plugins, welches bisher einwandfrei funktionierte. Auf mehreren PCs funktionierte das Login bei car2go mit diesem generierten Kennwort, nur in der Android-App wollte es nicht. Das machte mich neugierig und ich fing an zu forschen.

Im Firebug sieht man, dass nach Abschicken der Loginmaske ein POST-Request zu
https://www.car2go.com/cuba/customer/login/own/status/jsecuritycheck
geschickt wird. Dieser enthielt als j_password den Inhalt "ABCDEFGHIJK". Das kann doch nicht mein Kennwort sein? Schnell geprüft: Das Plugin generiert ein völlig anderes Kennwort. Und jetzt hab ich einfach mal "ABCDEFGHIJK" als Kennwort händisch benutzt und... es funktionierte! Das kann doch wohl nicht wahr sein.

Die Ursache ist vermutlich wie folgt: Das Plugin sperrt den Zugriff auf das Input-Feld mit dem Kennwort, jedoch versucht ein Javascript von car2go, das Kennwort zu lesen und nimmt dann als Fallback für den ersten Buchstaben "A", für den 2. "B" und so weiter. Die Anzahl der Buchstaben entsprach auch der Länge meines "echten" Kennwortes.

Wer sich also ein sicheres Kennwort generiert, speichert bei car2go unwissentlich ein ziemlich unsicheres auf dem Server ab. Das ist eine Sicherheitslücke und zeigt wieder mal, dass es Anwendungen grundsätzlich untersagt sein sollte, per Javascript auf Input-Felder vom Typ "password" zuzugreifen.

15.02.2017, 00:02

Ein Passwort muss 8 stellen haben

Ein Passwort muss 8 Stellen haben! Jedenfalls bei Lüftungsanlagen der Firma Helios.

Ich habe eine Helios EC450 Lüftungsanlage. Dieser Anlagentyp ist mit einem Webserver ausgestattet, der es erlaubt, die Lüftung über ein Webinterface zu steuern.

Das voreingestellte Benutzerkennwort ist "helios" und lässt sich ändern. Das neue Kennwort muss aber zwingend 8 Zeichen enthalten. WTF? Sicherheitstechnisch ist das ein unnötiges Risiko, da ein möglicher Angreifer schon mal die Länge des Kennwortes weiß. Die Sicherheit von Smart Homes war in letztes Zeit immer wieder in der Presse und es sind immer wieder dieses amateurmäßigen Implementierungen, die Löcher aufreißen.

Die Länge des Kennwortes wird aber nur per Javascript geprüft. Man kann also einen Breakpoint in die Methode lenpass(field, minlength, maxlength) setzen und die Variable maxlength von 8 auf 100 erhöhen :) Für Nicht-Softwareentwickler garnicht so einfach. Es bleibt fraglich, was sich die Entwickler dabei gedacht haben.

Es gibt auch einen Account für "Servicetechniker". Das erfährt man aber nur, wenn man sich durch die Bedienungsanleitung wühlt. Eine Benuterverwaltung existiert nicht.

"Für die Erstinbetriebnahme ist das Servicetechniker-Login Passwort !helios! einzutragen.
Bei Bedarf kann das Passwort nachträglich geändert werden."

Auch dieses Kennwort sollte man tunlichst ändern!

Ich würde ja Helios auch direkt fragen, aber es gibt keine Support-E-Mail-Adresse auf der Webseite.



11.05.2009, 22:00
Kommentare:



Mobil:
Diese Seite in der mobil-Version
Was geht:
Bier
IT-News
E-Mail

Projekte:
Content-Management

Valid HTML 4.01!