Forscher warnen: Vorsicht mit Android-Passwort-Managern

(Bild: Lastpass)

Für Android werden mehrere Passwort-Manager angeboten, bei denen Nutzer ihre Zugangsdaten mit einem Masterpasswort schützen können. Viele dieser Apps sind unsicher und können den gesamten Inhalt verraten, meinen Forscher des Fraunhofer-Instituts.

Untersucht wurden die beliebten Android-Passwortspeicher LastPass, Dashlane, Keeper und 1Password. Dabei stellte sich heraus, dass einige der Apps das besonders schützenswerte Master-Passwort im Klartext ablegen und dass andere Apps die extrahierten Anmeldedaten nach dem Gebrauch nicht aus der Zwischenablage löschen. Die Forscher benachrichtigten die App-Hersteller, die ihre Fehler inzwischen korrigiert haben sollen.

Deshalb ist es wichtig, jeweils die aktuelle Version des PW-Managers zu nutzen. Die Fehler können dazu führen, dass Unbefugte Zugriff auf Anmeldedaten erhalten, die die Passwort-Manager eigentlich schützen sollen. Den Forschern zufolge müssen sich Angreifer jedoch im selben Netzwerk wie das Opfer befinden, um die Anfälligkeiten ausnutzen zu können. Diese Voraussetzung ist unter Umständen schon mit der Nutzung eines öffentlichen WLAN erfüllt.

Lies auch: LastPass war nicht sicher

„Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone“, erläutert Siegfried Rasthofer, Android-Experte am Fraunhofer SIT, in einer Pressemitteilung. „Infolgedessen kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.“

Ein anderer Implementierungsfehler betrifft die Zwischenablage, in der Passwort-Manager die Anmeldedaten vorübergehend speichern, um sie an andere Apps zu übergeben. Einige Anwendungen löschen die Zwischenablage nicht vollständig nach Abschluss der Anmeldung. Die dort hinterlegten Daten seien anschließend für beliebige andere Apps mit Zugriff auf die Zwischenablage zugänglich. Auch ein Geräteverlust bedeute in solchen Fällen ein erhebliches Risiko für den Nutzer.

Lies auch: 1Password gibt es jetzt als Abo

Getestet wurden die Passwort-Manager mit dem vom Fraunhofer SIT entwickelten Werkzeug „CodeInspect“, dass das Fraunhofer SIT ab dem 20. März auf der CeBIT in Hannover ausstellt. Weitere Details zu den inzwischen gepatchten Schwachstellen wollen die Forscher auf der Konferenz Hack In The Box präsentieren, die am 10. April in Amsterdam beginnt.

CodeInspect erlaubt es Rasthofer zufolge, die Sicherheit von Android- und iOS-Apps detailliert zu überprüfen, selbst wenn sie nicht im Quellcode vorliegen. „Sicherheitsanalysen von Apps gehören bei uns zum Tagesgeschäft.“ Einige Fehler seien wohl eher aus Unachtsamkeit bei der Programmierung entstanden, andere seien jedoch wahrscheinlich absichtlich in die Apps eingebaut worden.

Tipp: Bist Du ein Android-Kenner? Überprüfe Dein Wissen – mit 15 Fragen auf silicon.de

Tags :Quellen:Mit Material von Stefan Beiersmann, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising