Fraunhofer: Viele Android-Passwort-Manager unsicher

von Stefan Beiersmann am , 07:35 Uhr

Die Forscher testen unter anderem LastPass, Dashlane, Keeper und 1Password. Einige Anwendungen speichern das Master-Passwort im Klartext. Andere löschen Anmeldedaten nicht aus der Zwischenablage. Die betroffenen Hersteller haben die Fehler inzwischen korrigiert.

Das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) weist auf „gravierende Sicherheitslücken“ in beliebten Passwort-Managern für Googles Mobilbetriebssystem Android [1] hin. Betroffen sind unter anderem Anwendungen wie LastPass, Dashlane, Keeper und 1Password. Da die Hersteller die Fehler mittlerweile beseitigt haben [2], rät das Fraunhofer SIT Nutzern von Passwort-Managern dringend, auf die aktuellste App-Version umzusteigen.

Anmeldung mit Master-Passwort (Bild: LastPass) [3]Die Fehler können dazu führen, dass Unbefugte Zugriff auf Anmeldedaten erhalten, die die Passwort-Manager eigentlich schützen sollen. Den Forschern zufolge müssen sich Angreifer jedoch im selben Netzwerk wie das Opfer befinden, um die Anfälligkeiten ausnutzen zu können. Diese Voraussetzung ist unter Umständen schon mit der Nutzung eines öffentlichen WLAN erfüllt.

„Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone“, erläutert Siegfried Rasthofer, Android-Experte am Fraunhofer SIT, in einer Pressemitteilung [4]. „Infolgedessen kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.“

Ein anderer Implementierungsfehler betrifft die Zwischenablage, in der Passwort-Manager die Anmeldedaten vorübergehend speichern, um sie an andere Apps zu übergeben. Einige Anwendungen löschen die Zwischenablage nicht vollständig nach Abschluss der Anmeldung. Die dort hinterlegten Daten seien anschließend für beliebige andere Apps mit Zugriff auf die Zwischenablage zugänglich. Auch ein Geräteverlust bedeute in solchen Fällen ein erhebliches Risiko für den Nutzer.

Getestet wurden die Passwort-Manager mit dem vom Fraunhofer SIT entwickelten Werkzeug „CodeInspect“, dass das Fraunhofer SIT ab dem 20. März auf der CeBIT [5] in Hannover ausstellt. Weitere Details zu den inzwischen gepatchten Schwachstellen wollen die Forscher auf der Konferenz Hack In The Box präsentieren, die am 10. April in Amsterdam beginnt.

CodeInspect erlaubt es Rasthofer zufolge, die Sicherheit von Android- und iOS-Apps detailliert zu überprüfen, selbst wenn sie nicht im Quellcode vorliegen. „Sicherheitsanalysen von Apps gehören bei uns zum Tagesgeschäft.“ Einige Fehler seien wohl eher aus Unachtsamkeit bei der Programmierung entstanden, andere seien jedoch wahrscheinlich absichtlich in die Apps eingebaut worden.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen? [6]

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de [7]

Artikel von ZDNet.de: http://www.zdnet.de

URL zum Artikel: http://www.zdnet.de/88288992/fraunhofer-viele-android-passwort-manager-unsicher/

URLs in this post:

[1] Android: http://www.zdnet.de/themen/android/

[2] mittlerweile beseitigt haben: https://team-sik.org/trent_portfolio/password-manager-apps/

[3] Image: http://www.zdnet.de/wp-content/uploads/2016/07/LastPassLogin.png

[4] Pressemitteilung: https://www.sit.fraunhofer.de/de/news/aktuelles/presse/details/news-article/viele-android-passwort-manager-unsicher/

[5] CeBIT: http://www.zdnet.de/themen/cebit/

[6] Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?: http://smart.kyoceradocumentsolutions.de/e-books/von-artikelnummer-bis-zustellung-so-verbessern-sie-mit-dms-ihre-logistikprozesse-von-a-bis-z/?utm_source=netmediaeurope&utm_medium=display&utm_content=text-picture&utm_campaign=cf

[7] Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de: http://www.silicon.de/survey/sind-sie-ein-android-kenner/