Fraunhofer: Viele Android-Passwort-Manager unsicher

Die Forscher testen unter anderem LastPass, Dashlane, Keeper und 1Password. Einige Anwendungen speichern das Master-Passwort im Klartext. Andere löschen Anmeldedaten nicht aus der Zwischenablage. Die betroffenen Hersteller haben die Fehler inzwischen korrigiert.

Das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) weist auf „gravierende Sicherheitslücken“ in beliebten Passwort-Managern für Googles Mobilbetriebssystem Android hin. Betroffen sind unter anderem Anwendungen wie LastPass, Dashlane, Keeper und 1Password. Da die Hersteller die Fehler mittlerweile beseitigt haben, rät das Fraunhofer SIT Nutzern von Passwort-Managern dringend, auf die aktuellste App-Version umzusteigen.

Anmeldung mit Master-Passwort (Bild: LastPass)Die Fehler können dazu führen, dass Unbefugte Zugriff auf Anmeldedaten erhalten, die die Passwort-Manager eigentlich schützen sollen. Den Forschern zufolge müssen sich Angreifer jedoch im selben Netzwerk wie das Opfer befinden, um die Anfälligkeiten ausnutzen zu können. Diese Voraussetzung ist unter Umständen schon mit der Nutzung eines öffentlichen WLAN erfüllt.

„Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone“, erläutert Siegfried Rasthofer, Android-Experte am Fraunhofer SIT, in einer Pressemitteilung. „Infolgedessen kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.“

Ein anderer Implementierungsfehler betrifft die Zwischenablage, in der Passwort-Manager die Anmeldedaten vorübergehend speichern, um sie an andere Apps zu übergeben. Einige Anwendungen löschen die Zwischenablage nicht vollständig nach Abschluss der Anmeldung. Die dort hinterlegten Daten seien anschließend für beliebige andere Apps mit Zugriff auf die Zwischenablage zugänglich. Auch ein Geräteverlust bedeute in solchen Fällen ein erhebliches Risiko für den Nutzer.

Getestet wurden die Passwort-Manager mit dem vom Fraunhofer SIT entwickelten Werkzeug „CodeInspect“, dass das Fraunhofer SIT ab dem 20. März auf der CeBIT in Hannover ausstellt. Weitere Details zu den inzwischen gepatchten Schwachstellen wollen die Forscher auf der Konferenz Hack In The Box präsentieren, die am 10. April in Amsterdam beginnt.

CodeInspect erlaubt es Rasthofer zufolge, die Sicherheit von Android- und iOS-Apps detailliert zu überprüfen, selbst wenn sie nicht im Quellcode vorliegen. „Sicherheitsanalysen von Apps gehören bei uns zum Tagesgeschäft.“ Einige Fehler seien wohl eher aus Unachtsamkeit bei der Programmierung entstanden, andere seien jedoch wahrscheinlich absichtlich in die Apps eingebaut worden.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Apps, Authentifizierung, Fraunhofer-Institut SIT, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Fraunhofer: Viele Android-Passwort-Manager unsicher

Kommentar hinzufügen
  • Am 2. März 2017 um 9:02 von Sebastian

    Welcher kostenlose Passwort Manager wird empfohlen?

  • Am 2. März 2017 um 12:04 von Mathias

    „Welcher kostenlose Passwort Manager wird empfohlen?“
    Da kann man nur den Kopf schütteln. Diese Androidnerds
    Vielleicht solltest du mal 99 Cent für deine Sicherheit investieren.

    • Am 2. März 2017 um 22:28 von Antiappler

      Und die gibt es wo?
      Auf jeden Fall auch NICHT bei Apple! Auch wenn Du Nicht-Androidnerd das glaubst.
      Hat auch überhaupt NICHTS mit Androidnerds zu tun!
      Wer sich z. B. nicht aus seinem täglichen Tagesablauf ein vernünftiges Passwort basteln kann, ist auf so etwas angewiesen, ob gratis oder für 99 Cent.

  • Am 2. März 2017 um 13:58 von C.Rutan

    „keepass“ hat in anderen Tests immer am besten abgeschnitten. Man sollte auch hier die Zwischenablage nicht verwenden – man braucht sie aber auch nicht.

  • Am 3. März 2017 um 8:34 von Michi

    Mittlerweile glaube ich, dass man auch kostenpflichtigen Produkten nicht trauen kann. Haben nicht alle dieser Produkte Dienste, die was kosten?

    Das Masterpasswort in Klartext zu speichern ist ja wohl mehr als ne Frechheit und zeugt meiner Meinung davon, dass man die Sicherheit nicht sehr ernst nimmt. Tragisch.
    Wollte Dash einsetzen, weil es einen tollen Funktionsumfang hat und sehr chiq aussieht. Gleich wieder gelöscht.

    Hab mir Passwort Depot gekauft. Ob das wohl sicherer ist???

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *