Fraunhofer: Viele Android-Passwort-Manager unsicher

Das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) weist auf „gravierende Sicherheitslücken“ in beliebten Passwort-Managern für Googles Mobilbetriebssystem Android hin. Betroffen sind unter anderem Anwendungen wie LastPass, Dashlane, Keeper und 1Password. Da die Hersteller die Fehler mittlerweile beseitigt haben, rät das Fraunhofer SIT Nutzern von Passwort-Managern dringend, auf die aktuellste App-Version umzusteigen.

Die Fehler können dazu führen, dass Unbefugte Zugriff auf Anmeldedaten erhalten, die die Passwort-Manager eigentlich schützen sollen. Den Forschern zufolge müssen sich Angreifer jedoch im selben Netzwerk wie das Opfer befinden, um die Anfälligkeiten ausnutzen zu können. Diese Voraussetzung ist unter Umständen schon mit der Nutzung eines öffentlichen WLAN erfüllt.

„Einige Anwendungen speichern beispielsweise das eingegebene Master-Passwort im Klartext auf dem Smartphone“, erläutert Siegfried Rasthofer, Android-Experte am Fraunhofer SIT, in einer Pressemitteilung. „Infolgedessen kann die Verschlüsselung leicht umgangen werden und alle Daten stehen dem Angreifer zur Verfügung – ohne dass der Nutzer dies merkt.“

Ein anderer Implementierungsfehler betrifft die Zwischenablage, in der Passwort-Manager die Anmeldedaten vorübergehend speichern, um sie an andere Apps zu übergeben. Einige Anwendungen löschen die Zwischenablage nicht vollständig nach Abschluss der Anmeldung. Die dort hinterlegten Daten seien anschließend für beliebige andere Apps mit Zugriff auf die Zwischenablage zugänglich. Auch ein Geräteverlust bedeute in solchen Fällen ein erhebliches Risiko für den Nutzer.

Getestet wurden die Passwort-Manager mit dem vom Fraunhofer SIT entwickelten Werkzeug „CodeInspect“, dass das Fraunhofer SIT ab dem 20. März auf der CeBIT in Hannover ausstellt. Weitere Details zu den inzwischen gepatchten Schwachstellen wollen die Forscher auf der Konferenz Hack In The Box präsentieren, die am 10. April in Amsterdam beginnt.

CodeInspect erlaubt es Rasthofer zufolge, die Sicherheit von Android- und iOS-Apps detailliert zu überprüfen, selbst wenn sie nicht im Quellcode vorliegen. „Sicherheitsanalysen von Apps gehören bei uns zum Tagesgeschäft.“ Einige Fehler seien wohl eher aus Unachtsamkeit bei der Programmierung entstanden, andere seien jedoch wahrscheinlich absichtlich in die Apps eingebaut worden.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de