M
mock
Neues Mitglied
- 0
Hi,
kann ich ein gespeichertes Passwort für ein POP3 Account irgendwie aus der K-9 Mail App extrahieren?
kann ich ein gespeichertes Passwort für ein POP3 Account irgendwie aus der K-9 Mail App extrahieren?
Fr4gg0r
App-Anbieter (Werbung)
- 465
hast du root?
M
mock
Neues Mitglied
- 0
- Themenstarter
- #3
Jawoll!
P
Prunkton
Neues Mitglied
- 0
Hallo,
ich weiß, dass der Beitrag schon etwas älter ist und ich weiß auch, dass das Thema sehr heikel ist und ich mir deshalb nicht all zu viel Hoffnung auf Hilfe machen sollte.
Dennoch möchte ich mein Problem kurz schildern:
- meine Systemplatte (SSD) wird im BIOS nichtmehr erkannt (-> tot)
-Das letzte Backup ist schon etwas ältern... zu alt für meine aktualisieren Passwörter.
-Die Passwörter habe ich der Faulheit wegen natürlich nie per Hand eingegeben sondern stets per Autovervollständigung via Firefox/Thunderbird.
-Das Passwort weiß ich natürlich leider nichtmehr komplett auswendig
-Per Passwortwiederherstellung kommen die Mails jeweils bei anderen EMails heraus, auf die ich ebenfalls keinen Zugriff habe.
Der Einzige Ort, wo meine Passwörter noch gespeichert sind, sind in meinem Android(2.3) Smartphone. Spezieller: im K-9 Email Client.
Das Passwort selber kann ich nur in Punkten sehen. Da es anscheinend relevant ist: Ich habe root Rechte (auf meinem LG Optimus Speed mit der MoDaCo Custom Rom r19)
Es wäre sehr freundlich, wenn mir jemand Helfen könnte, wie ich mir das Passwort in Klartext anzeigen lassen kann.
Weitere Hilfen wären:
-Im Passwort Feld kann ich die Option "Text auswählen" benutzten, welche Zeichen Fallen unter Text und welche nicht? Vielleicht schaffe ich es ja so noch mir das Passwort zusammen zu reimen
-kann man sich bei swiftkey alle jemals eingegebenen wörter anzeigen lassen bzw auslesen?
Vielen Dank im Vorraus
ach und bitte kommentare wie, hättest du mal ein backup gemacht blabla... einfach mal sein lassen
ich weiß, dass der Beitrag schon etwas älter ist und ich weiß auch, dass das Thema sehr heikel ist und ich mir deshalb nicht all zu viel Hoffnung auf Hilfe machen sollte.
Dennoch möchte ich mein Problem kurz schildern:
- meine Systemplatte (SSD) wird im BIOS nichtmehr erkannt (-> tot)
-Das letzte Backup ist schon etwas ältern... zu alt für meine aktualisieren Passwörter.
-Die Passwörter habe ich der Faulheit wegen natürlich nie per Hand eingegeben sondern stets per Autovervollständigung via Firefox/Thunderbird.
-Das Passwort weiß ich natürlich leider nichtmehr komplett auswendig
-Per Passwortwiederherstellung kommen die Mails jeweils bei anderen EMails heraus, auf die ich ebenfalls keinen Zugriff habe.
Der Einzige Ort, wo meine Passwörter noch gespeichert sind, sind in meinem Android(2.3) Smartphone. Spezieller: im K-9 Email Client.
Das Passwort selber kann ich nur in Punkten sehen. Da es anscheinend relevant ist: Ich habe root Rechte (auf meinem LG Optimus Speed mit der MoDaCo Custom Rom r19)
Es wäre sehr freundlich, wenn mir jemand Helfen könnte, wie ich mir das Passwort in Klartext anzeigen lassen kann.
Weitere Hilfen wären:
-Im Passwort Feld kann ich die Option "Text auswählen" benutzten, welche Zeichen Fallen unter Text und welche nicht? Vielleicht schaffe ich es ja so noch mir das Passwort zusammen zu reimen
-kann man sich bei swiftkey alle jemals eingegebenen wörter anzeigen lassen bzw auslesen?
Vielen Dank im Vorraus
ach und bitte kommentare wie, hättest du mal ein backup gemacht blabla... einfach mal sein lassen
Arcelor
Enthusiast
- 539
Prunkton schrieb:ach und bitte kommentare wie, hättest du mal ein backup gemacht blabla... einfach mal sein lassen
Ok....dann ein anderer....
Manche wollen auch die i-Mehls des Lebensgefährten o.ä. überprüfen.
Gruß,
Arcelor...
M
mizch
Dauergast
- 401
Dein Mail-Provider wird Dir weiterhelfen. Natürlich wird er wissen wollen, dass Du auch berechtigt bist. Ansonsten hoffe ich doch sehr, dass K9 sein Passwort nicht im Klartext, bereit für Cracker, präsentiert.
Im Interesse der Sicherheit Deiner Privatpost wirst Du sicher nicht zu unglücklich sein, dass Dir hier nur der Mail-Provider weiterhelfen kann und es keinen einfachen Trick gibt (geben darf).
Im Interesse der Sicherheit Deiner Privatpost wirst Du sicher nicht zu unglücklich sein, dass Dir hier nur der Mail-Provider weiterhelfen kann und es keinen einfachen Trick gibt (geben darf).
Fr4gg0r
App-Anbieter (Werbung)
- 465
Vermutlich wird K9 das Passwort nicht in Klartext speichern - ich hab jedoch keine Ahnung was die in diesem Bereich so eingesetzt wird..
Falls lediglich ein hash des PW gespeichert wird haste im Prinzip keine Chance.
Sollte das PW verschlüsselt gespeichert werden, sollte dir entweder der Autor der App helfen können, oder du versucht selber durch reverse engineering an die Verschlüsselung ranzukommen..
Falls lediglich ein hash des PW gespeichert wird haste im Prinzip keine Chance.
Sollte das PW verschlüsselt gespeichert werden, sollte dir entweder der Autor der App helfen können, oder du versucht selber durch reverse engineering an die Verschlüsselung ranzukommen..
M
mizch
Dauergast
- 401
Des Reverse Engeneering bedarf es gar nicht, denn K9 ist Open Source. Aus demselben Grund fällt Security by Obscurity weg, und es wird wohl ein sicheres Verfahren gewählt worden sein, und keines, das bloß darauf beruht, dass es schon keiner merken wird. Ich denke, da wird auch keiner der Autoren helfen können. Schon allein deshalb, weil sie nicht beurteilen können, ob der TE zum Zugriff berechtigt ist.
Ich verstehe auch (ehrlich gesagt) nicht, wieso so ein Aufwand getrieben werden soll, unnötiges Reverse Engineering gemacht werden soll und Autoren belästigt werden sollen, wo doch eine Anfrage beim Provider bei vorliegender Berechtigung alles klären kann.
Ich verstehe auch (ehrlich gesagt) nicht, wieso so ein Aufwand getrieben werden soll, unnötiges Reverse Engineering gemacht werden soll und Autoren belästigt werden sollen, wo doch eine Anfrage beim Provider bei vorliegender Berechtigung alles klären kann.
E
Einmaliger, anonymer Poster
Gast
Hallo,
ich habe mich in diesem Forum angemeldet, da ich das gleiche Problem habe wie der Ersteller des Threads und diese Thematik (wie sicher einige Andere auch) per google gefunden habe.
Nach diversen Sicherheitshinweisen, dass hier und da dutzende Mailadressen gehackt wurden, habe ich in diesem Jahr mehrfach alle meine Passwörter geändert. Da ich für jeden Account ein anderes Passwort nehme, war ich irgendwann an dem Punkt angekommen, dass ich ganz durcheinander kam und es ergab sich die Situation, dass ich mein Passwort für einen Mailaccount nicht mehr kannte, K9 Mail aber glücklicher Weise noch die richtigen Zugangsdaten hatte.
Eine Anfrage beim Mailprovider ist deshalb oft keine Option, da dafür teils obszöne (Telefon-)gebühren verlangt werden, was ich als Ausnutzung einer Notlage sehe.
Ich habe nach einiger Zeit eine Lösung gefunden, die ich all denjenigen mitteilen möchte, die bedauerlicher Weise vor einem ähnlichen Problem stehen.
Btw. finde ich es nicht okay, dass jedem, der in eine solche Situation kommt, gleich verbrecherische Absichten unterstellt werden. In jedem Fall muss man für die Lösungen das Handy im Zugriff haben und wer das hat und kriminell aktiv werden möchte, hat meist andere Ansätze und Möglichkeiten, als ein Mailpasswort auszulesen. Aber natürlich kann man auch das in Frage stellen und wegdiskutieren.
Zu meinem Ansatz:
Ich lege wert auf ein Supportetes Handy. Daher habe ich keine root-Zugriff.
Der Punkt ist allerdings: man kann in K9 Mail die Verbindungseinstellungen des Servers ändern, ohne das Passwort ändern zu müssen. Im betroffenen Account (zu welchem man das Passwort vergessen hat) kann man daher in den Einstellungen des bspw. bei Kontoeinstellungen -> Nachrichten verfassen -> Postausgangsserver - den Typ der Verschlüsselung von (meist) SSL/TLS auf "keine Verschlüsselung" stellen.
Dann wird das Passwort im Klartext an den Server gesendet und man kann es dabei mitschneiden.
Das heißt konkret: in K9 Mail wie oben die verschlüsselte Anmeldung beim Mailserver deaktivieren, dann - idealer Weise beim DSL Router - den Datenverkehr mitscheinden. Dazu bietet die FritzBox (oder 1&1 HomeServer) ein Untermenü an: http://fritz.box/html/capture.html
Dort startet man den Paketmitschnitt von "Schnittstelle 0 ('internet')" und versucht mit dem Handy eine Mail zu senden. Das Senden der Mail schlägt vermutlich fehl, da ein guter Server nur verschlüsselte Verbindungen akzeptiert. Allerdings hat k9 Mail beim Sendeversuch das Passwort bereits mitgegeben.
Den Paketmitschnitt lädt man in ein entsprechendes Programm zur Analyse, bspw. Wireshark.
In Wireshark sucht man sich einen Eintrag zum Protokoll SMTP (wenn man oben die Einstellung des Postausgangsservers geändert hat, ansonsten POP). Rechtsklick auf diesen Eintrag und dann "Follow TCP Stream". Es öffnet sich ein Fenster, in dem man die Kommunikation verfolgen kann. Dort gibt es eine Zeile, in der steht: AUTH PLAIN gefollgt von einer Zeichenkette.
Darin verstecken sich Benutzername und Passwort. Diese Zeichenkette ist kein Hash, sondern eine base64 Kodierung. Das heißt: mit einem (Online-Tool) kann man dieses Zeichenkette wieder in lesbare Zeichen zurück wandeln (google nach base64 online converter) und man hat das Passwort.
Was sagen uns diese Zeilen:
1.) K9 speichert nicht den Hash des Passwortes ab, sondern das Passwort selber.
2.) Quellcode-Analyse von k9 ist absolut nicht notwendig
3.) Nie (in öffentlichen (W)LANs ) unverschlüsselt unterwegs sein und
4.) Ja, es gibt eine Lösung, wieder an ein vergessenes Passwort zu kommen, dass in K9 noch hinterlegt ist.
Und nochmal: bitte vermutet nicht gleich hinter jedem Hilfesuchenden einen Kriminellen.
B.
ich habe mich in diesem Forum angemeldet, da ich das gleiche Problem habe wie der Ersteller des Threads und diese Thematik (wie sicher einige Andere auch) per google gefunden habe.
Nach diversen Sicherheitshinweisen, dass hier und da dutzende Mailadressen gehackt wurden, habe ich in diesem Jahr mehrfach alle meine Passwörter geändert. Da ich für jeden Account ein anderes Passwort nehme, war ich irgendwann an dem Punkt angekommen, dass ich ganz durcheinander kam und es ergab sich die Situation, dass ich mein Passwort für einen Mailaccount nicht mehr kannte, K9 Mail aber glücklicher Weise noch die richtigen Zugangsdaten hatte.
Eine Anfrage beim Mailprovider ist deshalb oft keine Option, da dafür teils obszöne (Telefon-)gebühren verlangt werden, was ich als Ausnutzung einer Notlage sehe.
Ich habe nach einiger Zeit eine Lösung gefunden, die ich all denjenigen mitteilen möchte, die bedauerlicher Weise vor einem ähnlichen Problem stehen.
Btw. finde ich es nicht okay, dass jedem, der in eine solche Situation kommt, gleich verbrecherische Absichten unterstellt werden. In jedem Fall muss man für die Lösungen das Handy im Zugriff haben und wer das hat und kriminell aktiv werden möchte, hat meist andere Ansätze und Möglichkeiten, als ein Mailpasswort auszulesen. Aber natürlich kann man auch das in Frage stellen und wegdiskutieren.
Zu meinem Ansatz:
Ich lege wert auf ein Supportetes Handy. Daher habe ich keine root-Zugriff.
Der Punkt ist allerdings: man kann in K9 Mail die Verbindungseinstellungen des Servers ändern, ohne das Passwort ändern zu müssen. Im betroffenen Account (zu welchem man das Passwort vergessen hat) kann man daher in den Einstellungen des bspw. bei Kontoeinstellungen -> Nachrichten verfassen -> Postausgangsserver - den Typ der Verschlüsselung von (meist) SSL/TLS auf "keine Verschlüsselung" stellen.
Dann wird das Passwort im Klartext an den Server gesendet und man kann es dabei mitschneiden.
Das heißt konkret: in K9 Mail wie oben die verschlüsselte Anmeldung beim Mailserver deaktivieren, dann - idealer Weise beim DSL Router - den Datenverkehr mitscheinden. Dazu bietet die FritzBox (oder 1&1 HomeServer) ein Untermenü an: http://fritz.box/html/capture.html
Dort startet man den Paketmitschnitt von "Schnittstelle 0 ('internet')" und versucht mit dem Handy eine Mail zu senden. Das Senden der Mail schlägt vermutlich fehl, da ein guter Server nur verschlüsselte Verbindungen akzeptiert. Allerdings hat k9 Mail beim Sendeversuch das Passwort bereits mitgegeben.
Den Paketmitschnitt lädt man in ein entsprechendes Programm zur Analyse, bspw. Wireshark.
In Wireshark sucht man sich einen Eintrag zum Protokoll SMTP (wenn man oben die Einstellung des Postausgangsservers geändert hat, ansonsten POP). Rechtsklick auf diesen Eintrag und dann "Follow TCP Stream". Es öffnet sich ein Fenster, in dem man die Kommunikation verfolgen kann. Dort gibt es eine Zeile, in der steht: AUTH PLAIN gefollgt von einer Zeichenkette.
Darin verstecken sich Benutzername und Passwort. Diese Zeichenkette ist kein Hash, sondern eine base64 Kodierung. Das heißt: mit einem (Online-Tool) kann man dieses Zeichenkette wieder in lesbare Zeichen zurück wandeln (google nach base64 online converter) und man hat das Passwort.
Was sagen uns diese Zeilen:
1.) K9 speichert nicht den Hash des Passwortes ab, sondern das Passwort selber.
2.) Quellcode-Analyse von k9 ist absolut nicht notwendig
3.) Nie (in öffentlichen (W)LANs ) unverschlüsselt unterwegs sein und
4.) Ja, es gibt eine Lösung, wieder an ein vergessenes Passwort zu kommen, dass in K9 noch hinterlegt ist.
Und nochmal: bitte vermutet nicht gleich hinter jedem Hilfesuchenden einen Kriminellen.
B.
R
rihntrha
Philosoph
- 1.000
TheB schrieb:
Geht ja auch gar nicht anders. Der Mailserver will das Passwort haben und nicht irgendeinen hash ;-)
Deswegen ein weiterer Tipp: Bei Konten die 2-Faktor Authentifizierung erlauben diese aktivieren und für die Mailprogramme dann ein anwendungsspzifisches Passwort erstellen. Mit diesem kann der Dieb nicht ganz so viel Schaden anrichten (sofern der Mailzugang alleine nicht reicht um Vollzugriff auf das Konto zu erlangen).
cu
M
mizch
Dauergast
- 401
TheB schrieb:
Niemand hat das getan. Aber niemand konnte das ganz ausschließen, und schließlich wurde auf einen gangbaren Weg verwiesen. Dass Du die paar Hotline-Ocken für obszön hältst, ist Dein Problem. Das ist schon immer die andere Seite der Billig-Mail-Anbieter. Irgendwie muss das Geld ja reinkommen. There's nothing like a free lunch.
Ich halte es für eine Frage der (Hacker-)Ethik, nicht alles zu tun und zu veröffentlichen, was technisch machbar ist. Dazu gehören auch Angriffsmöglichkeiten auf persönliche, private Mail-Accounts. Aber Deine Ansicht wird sich hier unterscheiden, wegen ein paar abzudrückenden Cents bis Euros.
Edit: CCC, Hackerethik: „Öffentliche Daten nützen, private Daten schützen”. Die Vorposter haben lediglich den zweiten Halbsatz umgesetzt.
Zuletzt bearbeitet:
Ähnliche Themen
droit
