Turri's News: PAINT als Sicherheitslücke auf Windows-PC's!

Das "Zeichenprogramm" Microsoft PAINT steht seit Tagen in der Kritik. Millionen WindowsXP als auch Windows Vista, 7, 8 und -mobil Nutzer nutzen das unscheinbare Programm.

"PAINT" hat sich - sehr zum Ärger der vielen anderen Bildbearbeitungsanbieter - als Quasi-Ersatzstandard für die kostenpflichtigen, viel umfangreicheren Programme etabliert. Die Entwickler geben an, dass täglich mehr als 100 Milliarden Nutzer das Programm ausführen.

Doch der Dienst, der vom kleinen Unternehmer "Microsoft" betrieben wird - und auf allen gängigen Microsoft-Betriebssystemen vorinstalliert ist - ist weder so sicher, noch so ausfallresistent, wie es von einem Marktführer zu erwarten wäre.

Der britische Webentwickler Sammy Blobb weist in seinem Blog darauf hin, dass jeder einigermaßen ambitionierte Hacker einen oder mehrere PAINT-Accounts problemlos kapern kann. Dann könnte er entweder eigene Zeichnungen abfangen, oder im Namen des Hacking-Opfers selbst Zeichnungen anfertigen!

Das Problem: PAIN ist so angelegt, dass die Hürde zum Einstieg für neue Nutzer möglichst gering ist. Sie müssen keine eigene Kombination aus Nutzernamen und Passwort anlegen, stattdessen legt der PAINT-Client die Login-Daten aus bereits auf dem Windows-System vorhandenen Informationen an.

Als Nutzername dient - einfach und eindeutig - die Windows-Kennung, für das Password nutzt PAINT auf Windows-PC's die eindeutige Win-Seriennummer einer jeden Windows Installation als Ausgangsbasis für die Berechnung.

Entwickkler Sammy Blobb fand heraus: Um aus der Windows-Kennung das Passwort zu generieren, kehrt das Programm lediglich die Reihenfolge der Nummer um, und lässt die Ziffernfolge anschließend durch den längst als unsicher bekannten Algorythmus MD5 verschlüsseln. Kurz gesagt: Jeder, der die Kennung eines Telefons kennt, kann daraus das Passwort nachbauen.

;) Achtung, Satire!

Keine Kommentare:

Kommentar veröffentlichen