Viele Android-Passwort-Manager unsicher

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.800 Mitglieder helfen dir weiter. > Frage stellen <
  • Viele Android-Passwort-Manager unsicher

    Forscher des Fraunhofer SIT haben Lücken in Android-Passwort-Management-Apps gefunden – Nutzer sollten Apps aktualisieren

    Das Fraunhofer-Institut für Informationstechnologie SIT hat gravierende Sicherheitslücken in Passwort-Apps für Android entdeckt. Bei vielen der beliebtesten Passwort-Manager konnten Cyberkriminelle leicht Zugriff auf die geschützten Informationen erhalten, beispielsweise, wenn sich der Angreifer im selben Netzwerk befindet. Die Hersteller wurden informiert und haben die Fehler mittlerweile behoben. Nutzer sollten jedoch sicherstellen, dass sie die aktuelle App-Version verwenden. Die Details ihrer Analysen stellen die Experten des Fraunhofer SIT im April auf der „Hack In The Box“-Konferenz in Amsterdam vor. Das für die Tests genutzte Werkzeug CodeInspect zeigt das Institut bereits vom 20.-24. März in Halle 6 am Stand B 36 auf der CeBIT in Hannover.

    Für jede Anwendung und jedes Benutzerkonto wird ein eigenes Passwort benötigt. Dadurch können Nutzer leicht den Überblick verlieren und Passwörter vergessen. Abhilfe schaffen Passwort-Manager: Dabei muss sich der Nutzer nur noch ein einziges Masterpasswort merken, alle anderen Zugänge und Passwörter werden sicher verschlüsselt in der Applikation gespeichert. Doch was wenn die Sicherheitsmechanismen Fehler haben? Ein Forscherteam des Fraunhofer SIT hat eine Reihe beliebter Android-Passwort-Manager-Apps analysiert. Ergebnis: Viele dieser Passwort-Apps waren unsicher.

    Unterschiedliche Implementierungsfehler

    In einigen der analysierten Apps, darunter LastPass, Dashlane, Keeper und 1Password, fanden die Security-Experten gleich mehrere Implementierungsfehler, die zu ernsthaften Sicherheitslücken führten. „Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone“, erklärt Dr. Siegfried Rasthofer, Android-Experte am Fraunhofer SIT. Infolgedessen kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.

    Darüber hinaus ignorieren viele Anwendungen das Problem der Zwischenablage, wodurch ein sogenanntes „Sniffing“ möglich wird. Das bedeutet, die Zwischenablage wird nicht bereinigt, nachdem die Anmeldeinformationen dorthin kopiert wurden. Zugriffe zum Auslesen der Zwischenablage könnten praktisch von jeder anderen App ausgeführt werden; und wer kann sich sicher sein, dass eine bestimmte andere App nicht gerade dies ausnutzt und sich somit die Zugangsinformation für den Passwort-Manager verschafft. In anderen Fällen hätte es für Angreifer ausgereicht, sich im selben Netzwerk zu befinden, aber auch ein Geräteverlust hätte erhebliche Risiken für die Nutzer mit sich bringen können.

    „Sicherheitsanalysen von Apps gehören bei uns zum Tagesgeschäft. Mit CodeInspect und Appicaptor haben wir eigene Werkzeuge entwickelt, mit denen wir Apps sehr effizient und detailliert auf ihre Sicherheit überprüfen können, selbst wenn uns die Apps nicht im Quellcode vorliegen. Dies gilt sowohl für Android als auch für iOS“, erklärt Dr. Rasthofer. Mit seinen Werkzeugen konnte das Fraunhofer SIT bereits viele Schwachstellen in Apps aufdecken. Dazu gehören solche, die eher aus Unachtsamkeit bei der Programmierung entstanden sind, aber auch solche, die wahrscheinlich absichtlich in Apps eingebaut wurden.

    Sicherheitslücken zwischenzeitlich geschlossen

    „Wir haben die Hersteller der betroffenen Passwort-Manager über die Sicherheitslücken informiert. Alle haben reagiert und die Verwundbarkeiten geschlossen.“, erklärt Rasthofer. Auf Geräten, auf denen sich die Apps Sicherheitsupdates aus dem App-Store herunterladen, sind die Probleme behoben. Wenn Nutzer keine automatischen Updates aktiviert haben, sollten die Applikationen umgehend aktualisiert werden. Welche Apps betroffen sind und weitere Details zu den jeweiligen Schwachstellen können unter http://sit4.me/pw-manager eingesehen werden.

    Quelle

  • Nur mal zur Info:
    Ich schwöre seit Jahren auf den Steganos Password Manager (bzw. das Komplettprogramm Steganos Privacy Suite). Das ist ein Windows-Programm - aber mittels Anbindung einer Cloud und der Android-App Steganos Mobile Privacy hab ich automatisch und sicher verschlüsselt immer den aktuellen Stand auf dem Handy.
    Ich kann zwar in Android nichts ändern - aber das hat ja auch seine Vorteile und ist sicherer. Die Daten selbst kann ich an mehreren PCs und Laptos ändern und syncen.
    Steganos ist übrigens eine deutsche Firma.

    In der neuen Zeitschrift Chip gibt es übrigens die vorherige Version 17 kostenlos. Ist IMHO auf alle Fälle empfehlenswert!


  • Ich kann zwar in Android nichts ändern - aber das hat ja auch seine Vorteile und ist sicherer.

    Inwiefern ist es sicherer wenn man nichts ändern kann?

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Ich muss die Daten in Android nicht bearbeiten. Mir kann niemand über die Schulter schauen, falls es länger dauert. Und die Daten driften nicht auseinander.

    Getapatalked mit Z1C

    Einmal editiert, zuletzt von Miaz (3. März 2017 um 16:05)

  • KeePass nutze ich schon sehr lange. Hier ist der Vorteil, dass es neben dem offiziellen (und quelloffenen) Client für so gut wie jedes andere System einen Client gibt. Für Android benutze ich KeePassDroid. Ob dieser mit untersucht wurde, kann ich nicht sagen. Er scheint mir aber ausreichend sicher zu sein. Wenn ich einstelle, dass das Passwort nach z.B. 5min Inaktivität der App gelöscht wird, dann muss ich’s beim nächsten Mal auch wieder eintippen. Das ist mir die Sicherheit wert.