Passwort-Manager unter Android mit gravierenden Defiziten

1. März 2017, 14:04
49 Postings

Untersuchung deckt Fehler in zahlreichen Apps auf – Auch LastPass und 1Password betroffen

Für jede Webseite ein individuelles Passwort mit einer entsprechenden Komplexität: Dies empfehlen Experten jenen Usern, die ihre Daten wirklich sicher halten wollen. Doch wer sich daran hält, wird schnell merken, dass es nicht gar so einfach ist, sich all diese Passwörter auch auswendig zu merken. In solchen Fällen empfiehlt sich dann eine Passwort Manager, freilich muss auch dieser entsprechend geschützt sein, um nicht selbst wieder zum Angriffspunkt zu werden. Leider scheinen hier viele Hersteller in der Vergangenheit gepatzt zu haben.

Fehler über Fehler

In einer aktuellen Untersuchung zeigt das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) zum Teil gravierende Fehler in Passwortmanagern für Android auf. Einige der getesteten Apps hätten das Master Password gleich ganz unverschlüsselt auf dem Gerät gespeichert, was es Angreifern leicht macht, an die sensiblen Informationen zu kommen, erläutern die Forscher.

Zudem würden viele Passwort-Manager ein aus einer Sicherheitsperspektive durchaus problematisches Verhalten von Android ausblenden: Nämlich, dass praktisch jede App Zugriff auf die Zwischenablage anfordern kann. Damit könnten Dritt-Apps beim Kopieren die Passwörter mitlesen, solange die Hersteller nicht einen zusätzlichen Schutz vornehmen. In wieder anderen Fällen hätte es gereicht, im gleichen lokalen Netzwerk zu sein, um Passwörter auslesen zu können.

Update

Zu den fehlerbehafteten Apps hätten unter anderem LastPass, 1Password, Dashlane und Keeper gehört. Die Bugs seien allesamt an die zuständigen Hersteller gemeldet und mittlerweile auch bereinigt worden. Weitere Details zu Hintergründen und allen betroffenen Produkten werden in einem separaten Blogeintrag geliefert. (apo, 1.3.2017)

  • Artikelbild
    foto: fraunhofer sit
    Share if you care.